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密码 学 的 应 用 领域 远 远 不 只 是 编码 和 解码 信息 ， 要 了 解 有 关 密码 学 技术 的 数字 签名 的 知识 ， 本 书 
是 必 读 之 作 。 本 书 介绍 了 密码 学 协议 的 通用 类 型 、 特 定 技 术 ， 详 细 介 绍 了 现实 世界 密码 学 算法 的 内 部 机 
制 ， 包 括 DES 和 RSA 公 开 密 钥 加 密 系统 。 书 中 提供 了 源 代 码 列表 和 大 量 密码 学 应 用 方面 的 实践 活动 ， 
如 产生 真正 的 随机 数 和 保持 密 钥 安全 的 重要 性 。 
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文艺 复兴 以 降 ， 源 远 流 长 的 科学 精神 和 逐步 形成 的 学 术 规 范 ， 使 西方 国家 在 自然 科学 的 
各 个 领域 取得 了 垄断 性 的 优势 ， 也 正 是 这 样 的 传统 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 间 名 
家 辈出 、 独 领 风 骚 。 在 商业 化 的 进程 中 ， 美 国 的 产业 界 与 教育 界 越 来 越 紧密 地 结合 ， 计 算 机 
学 科 中 的 许多 泰山 北斗 同时 身 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科学 著作 ， 不 仅 璧 
划 了 研究 的 范畴 ， 还 揭示 了 学 术 的 源 变 ， 既 遵循 学 术 规范 ， 又 自 有 学 者 个 性 ， 其 价值 并 不 会 
因 年 月 的 流逝 而 减退 。 

近年 ， 在 全 球 信息 化 大 潮 的 推动 下 ， 我 国 的 计算 机 产业 发 展 迅 猛 ， 对 专业 人 才 的 需求 日 
益 迫 切 。 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 遇 ， 也 是 挑战 ， 而 专业 教材 的 建设 在 教育 战略 
上 显得 举足轻重 。 在 我 国信 息 技术 发 展 时 间 较 短 的 现状 下 ， 美 国 等 发 达 国 家 在 其 计算 机 科学 
发 展 的 几 十 年 间 积淀 和 发 展 的 经 典 教材 仍 有 许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 国外 优秀 计 
算 机 教材 将 对 我 国 计 算 机 教育 事业 的 发 展 起 到 积极 的 推动 作用 ， 也 是 与 世界 接轨 、 建 设 真正 
的 世界 一 流 大 学 的 必由之路 。 

机 械 工 业 出 版 社 华章 公司 较 早 意识 到 “出 版 要 为 教育 服务 ”。 自 1998 年 开始 ， 我 们 就 将 
工作 重点 放 在 了 六 选 、 移 译 国外 优秀 教材 EL. ANSE ARS A, KA Pearson, 
McGraw-Hill, Elsevier, MIT, John Wiley & Sons, Cengage 等 世界 著名 出 版 公司 建立 了 和 良好 
的 合作 关系 ， 从 他 们 现 有 的 数 百 种 教材 中 甄选 出 Andrew S. Tanenbaum, Bjarne Stroustrup, 
Brain W. Kernighan, Dennis Ritchie, Jim Gray, Afred V. Aho, John E. Hopcroft, Jeffrey 
D. Ullman, Abraham Silberschatz, William Stallings, Donald E. Knuth, John L. Hennessy, 
Larry L. Peterson 等 大 师 名 家 的 一 批 经 典 作品 ， 以 “计算 机 科学 丛书 ”为 总 称 出 版 ， 供 读者 
学 习 、 研 究 及 珍藏 。 大 理 石 纹理 的 封面 ， 也 正体 现 了 这 套 丛 书 的 品位 和 格调 。 

“计算 机 科学 丛书 ”的 出 版 工作 得 到 了 国内 外 学 者 的 易 力 圳 助 ， 国 内 的 专家 不 仅 提供 了 
中 肯 的 选 题 指 导 ， 还 不 辞 劳 音 地 担任 了 翻译 和 审 校 的 工作 ;而 原 书 的 作者 也 相当 关注 其 作品 
在 中 国 的 传播 ， 有 的 还 专程 为 其 书 的 中 译本 作 序 。 迄今 , “计算 机 科学 丛书 ”已 经 出 版 了 近 
两 百 个 品种 ， 这 些 书 籍 在 读者 中 树立 了 良好 的 口碑 ， 并 被 许多 高 校 采 用 为 正式 教材 和 参考 书 
籍 。 其 影印 版 “经 典 原版 书库 ”作为 姊妹 篇 也 被 越 来 越 多 实施 双语 教学 的 学 校 所 采用 。 

权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精 细 的 编辑 ， 这 些 因素 使 我 们 的 
图 书 有 了 质量 的 保证 。 随 着 计算 机 科学 与 技术 专业 学 科 建 设 的 不 断 完 善 和 教材 改革 的 逐渐 深 
化 ， 教 育 界 对 国外 计算 机 教材 的 需求 和 应 用 都 将 步 入 一 个 新 的 阶段 ， 我 们 的 目标 是 尽 善 尽 
美 ， 而 反馈 的 意见 正 是 我 们 达到 这 一 终极 目标 的 重要 帮助 。 华 章 公 司 欢 迎 老师 和 读者 对 我 们 
的 工作 提出 建议 或 给 予 指正 ， 我 们 的 联系 方法 如 下 : 


华章 网 站 : www. hzbook. com 
电子 邮件 : hzjsj@hzbook. com = 
联系 电话 : (010) 88379604 HZ BOOKS 


联系 地 址 : 北京 市 西城 区 百 万 庄 南 街 1 号 华章 教育 


邮政 编码 : 100037 华章 科技 图 书 出 版 中 心 
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学 现状 有 旦 可 读 性 强 的 著作 。Bruce Schneier fit «(Applied Cryptography: Protocols, Algo- 
rithms, and Source Code in C》 一 书 正 是 这 样 一 部 集大成 之 作 。 本 书 以 生动 的 描述 和 朴实 的 
文风 将 当代 密码 学 的 方方面面 熔 于 一 炉 ，1994 年 第 1 版 一 经 推出 即 在 国际 上 引起 广泛 关注 ， 
成 为 近 几 年 来 引用 最 多 、 销 量 最 大 的 密码 学 专著， 极 大 地 推动 了 国际 密码 学 研究 与 应 用 的 发 
展 。 作 者 顺应 近年 来 世界 各 国 对 信息 安全 普遍 关注 的 趋势 ， 结 合 第 1 版 问世 以 来 密码 学 的 新 
成 果 ， 于 1996 年 推出 了 第 2 版 ， 仍 是 好 评 如 潮 。 本 书 即 根据 第 2 版 译 出 。 

本 书 作者 没有 将 密码 学 的 应 用 仅仅 局 限 在 通信 保密 性 上 ， 而 是 紧 扣 密码 学 的 发 展 轨迹 ， 
从 计算 机 编程 和 网 络 化 应 用 方面 ， 阐 述 了 密码 学 从 协议 、 技 术 、 算 法 到 实现 的 方方面面 。 该 
书 详细 解释 了 大 量 的 新 概念 ， 如 育 签 名 、 失 败 - 终 止 签名 、 零 知识 证 明 、 位 承 诡 、 数 字 化 现 
金 和 保密 的 多 方 计算 等 ， 向 读者 全 面 展 示 了 现代 密码 学 的 新 进展 。 

本 书 的 核心 部 分 自然 是 论述 密码 协议 、 技 术 和 算法 的 一 系列 章节 。 作 者 收集 了 大 量 的 公 
开 密 钥 和 私人 密 钥 密码 体制 的 实例 ， 内 容 几 乎 涵盖 了 所 有 已 公开 发 表 的 具有 实用 性 的 密码 算 
法 。 作 者 将 它们 分 门 别 类 ， 一 一 评论 。 其 中 ， 对 密码 技术 中 密 钥 管理 技术 和 算法 的 分 析 与 总 
结 详尽 全 面 ; 对 数 十 种 密码 算法 的 软件 实现 提出 了 务实 可 行 的 建议 ; 对 苏联 和 南非 的 一 些 算 
法 的 介绍 更 是 引人入胜 。 对 编程 人 员 和 通信 专业 人 士 来 说 ， 本 书 尤 若 百 科 全 书 。 难 怪 美国 
《Wired》 杂 志 说 这 是 一 本 美国 国家 安全 局 永远 也 不 愿 看 到 它 问 世 的 密码 学 著作 。 此 外 ， 作 
者 还 简 述 了 各 种 散 列 函数 和 签名 方案 ， 并 结合 实例 说 明了 如 何 有 效 地 利用 现 有 的 工具 箱 ， 特 
别 指出 了 实现 保密 协议 的 方法 ， 比 如 言 签 名 和 零 知 识 证 明 。 同 时 ， 还 涉猎 了 密码 学 领域 中 不 
少时 晓 的 话题 ， 比 如 阔 下 信道 、 秘 密 共 享 、 隐 写 技 术 和 量子 密码 学 等 。 

该 书 的 第 四 部 分 也 颇具 特色 ， 它 以 “真实 世界 ”为 题 ， 向 人 们 展示 了 密码 学 应 用 于 社会 
的 真实 情况 。 首 先 ， 作 者 用 十 多 个 实际 的 例子 ， 讨 论 密 码 学 应 用 于 计算 机 网 络 的 现实 情况 ， 
内 容 包括 了 国外 大 多 数 的 商用 保密 协议 ， 如 IBM 公司 的 密 钥 管理 方案 、 应 用 较 多 的 Kryp- 
toKnight, ISO 的 鉴别 框架 、 因 特 网 中 的 保密 增强 型 电子 邮件 产品 PEM 以 及 PGP 安全 软 
件 ， 甚 至 还 讨论 了 密码 学 界 的 热门 话题 一 一 美国 军用 保密 电话 STU- 革 、 商 用 密码 芯片 Clip- 
per 和 Capstone。 接 着 ， 作 者 从 政治 角度 探讨 了 美国 的 密码 政策 ， 其 中 对 围绕 专利 的 争论 、 
出 口 许 可 证 的 管理 和 密 钥 第 三 方 托管 的 评说 ， 都 让 国内 读者 耳目 一 新 。 

当然 ， 纵 览 全 书 ， 也 不 难看 出 本 书 的 不 足 ， 如 序列 密码 、 密 码 的 形式 证 明 、 密 码 学 在 金 
MRA RRT) 和 军事 系统 中 的 应 用 等 方面 的 内 容 略 显 不 足 。 加 之 本 书 内 容 广 博 ， 作 者 在 
对 引用 资料 的 使 用 上 也 有 一 些 失 误 。 但 是 ， 正 如 作者 在 前 言 中 所 说 ， 本 书 的 目的 是 将 现代 密 
码 学 的 精 艇 带 给 计算 机 编程 人 员 、 通 信和 与 信息 安全 专业 人 员 和 对 此 有 兴趣 的 爱好 者 ， 从 这 个 
角度 看 ， 上 述 的 缺陷 当 在 情理 之 中 。 

参加 本 书 翻译 和 校对 的 同志 有 : REEE, BUTE. TK SC. RAE., ZB AP. AE 
洪 、 方 关 宝 、 黄 月 江 、 李 川 、 谭 兴 烈 、 王 佩 春 、 曾 兵 、 韦 文 玉 、 黄 澄 、 罗 超 、 王 英 、 伍 环 玉 、 蒋 
洪 志 、 陈 维 斌 等 。 本 书 最 后 由 吴 世 忠 、 祝 世 雄 统 稿 。 何 德 全 院士 在 百 忙 之 中 审 校 了 全 部 译 稿 。 

必须 指出 的 是 ， 该 书 内 容 浩 繁 ， 由 多 人 翻译 ， 限 于 水 平和 经 验 ， 加 之 密码 学 的 很 多 概念 
在 译 法 上 本 身 就 有 难度 ， 故 而 廖 误 在 所 难免 ， 敬 请 读者 见谅 。 
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密码 学 文献 有 一 个 奇妙 的 发 展 历程 。 当 然 ， 保 密 总 是 扮演 着 主要 角色 ， 但 是 直到 第 一 次 
世界 大 战 之 前 ， 密 码 学 重要 的 进展 很 少 出 现在 公开 文献 中 ， 但 该 领域 却 和 其 他 专业 学 科 一 样 
一 直 在 向 前 发 展 。 直 到 1918 年 ，20 世纪 最 有 影响 的 密码 分 析 文 章 之 一 一 一 William 
F. Friedman 的 专题 论文 “The Index of Coincidence and Its Applications in Cryptography” 
(HE ATG BR HE BE BY i A"! YE A Riverbank 实验 室 的 一 份 研究 报告 问世 了 。 
其 实 ， 这 篇 论文 所 涉及 的 工作 是 在 战 时 完成 的 。 同 年 ， 加 州 奥克兰 的 Edward H. Hebern 申 
请 了 第 一 个 转 轮 机 专利 "" ， 这 种 装置 在 差不多 50 年 里 被 指定 为 美军 的 主要 密码 设备 。 

然而 ， 第 一 次 世界 大 战 之 后 ， 情 况 开 始 变化 ， 完 全 处 于 秘密 工作 状态 的 美国 陆军 和 海军 
的 机 要 部 门 开始 在 密码 学 方面 取得 根本 性 的 进展 。 在 20 世纪 三 四 十 年 代 ， 有 多 篇 基础 性 的 
文章 出 现在 公开 的 文献 中 ， 还 出 现 了 几 篇 专题 论文 ， 只 不 过 这 些 论文 的 内 容 离 当 时 真正 的 技 
术 水 平 相去 其 远 。 战 争 结束 时 ， 情 况 急转直下 ， 公 开 的 文献 几乎 列 尽 。 只 有 一 个 突出 的 例 
外 ， 那 就 是 Claude Shannon 的 文章 “The Communication Theory of Secrecy Systems” ( 保 
密 系 统 的 通信 理论 )043 出 现在 1949 年 的 《Bell System Technical Journal) (贝尔 系统 技术 
杂志 ) 上 ， 它 类 似 于 Friedman 1918 年 的 文章 ， 也 是 战 时 工作 的 产物 。 这 篇 文章 在 第 二 次 世 
界 大 战 结 束 后 即 被 解密 ， 可 能 是 由 于 失误 。 

从 1949 年 到 1967 年 ， 密 码 学 文献 近乎 空白 。1967 年 ， 一 部 与 众 不 同 的 著作 (David 
Kahn 的 《The Codebreakers) (RIF A)! ) 出 现 了 ， 它 并 没有 任何 新 的 技术 思想 ， 但 却 对 
密码 学 的 历史 做 了 相当 完整 的 记述 ， 包 括 提 及 政府 仍然 认为 是 秘密 的 某 些 事情 。 这 部 著作 的 
意义 不 仅 在 于 它 涉 及 了 相当 广泛 的 领域 ， 而 且 在 于 它 使 成 千 上 万 原本 不 知道 密码 学 的 人 了 解 
了 密码 学 。 新 的 密码 学 文章 开始 源源 不 断 地 发 表 出 来 。 

大 约 在 同一 时 期 ， 早 期 为 空军 研制 敌我 识别 装置 的 Horst Feistel 在 位 于 纽约 约克 镇 高 
地 的 IBM Watson 实验 室 里 花费 了 毕生 精力 致力 于 密码 学 的 研究 。 那 里 他 开始 着 手 进 行 美国 
数据 加 密 标 准 (Data Encryption Standard, DES) 的 研究 ，20 世纪 70 年 代 初 期 ，IBM 发 表 
了 Feistel 和 他 的 同事 在 这 个 课题 方面 的 多 篇 技术 报告 号 7 ss 。 

这 就 是 我 于 1972 年 年 底 涉足 密码 学 领域 时 的 情形 ， 当 时 密码 学 的 文献 还 不 丰富 ， 但 也 
包括 一 些 非常 有 价值 的 东西 。 

密码 学 提出 了 一 个 一 般 学 科 领 域 都 难以 遇 到 的 难题 : 它 需 要 密码 学 和 密码 分 析 学 紧密 结 
合 、 互 为 促进 。 这 是 由 于 缺乏 实际 通信 需求 所 致 。 提 出 一 个 表面 上 看 似 不 可 破译 的 系统 并 不 
难 ， 但 许多 学 术 性 的 设计 非常 复杂 ， 以 至 于 密码 分 析 家 不 知 从 何人 手 ， 分析 这 些 设计 中 的 漏 
洞 远 比 最 初 设计 它们 更 难 。 结 果 是 ， 那 些 可 以 强劲 推动 学 术 研 究 的 竞争 过 程 在 密码 学 中 并 没 
起 多 大 作用 。 

当 我 和 Martin Hellman 在 1975 年 提出 公开 密 钥 密 码 学 “中 时 ， 我们 贡献 的 一 个 方面 是 
引入 了 一 个 看 来 不 易 解决 的 难题 。 现 在 有 抱负 的 密码 体制 设计 者 能 够 提出 被 认为 是 很 聪明 的 
一 些 东 西 一 一 这 些 东西 比 只 是 把 有 意义 的 正文 变 成 无 意义 的 乱 语 更 有 用 。 结 果 是 研究 密码 学 
的 人 数 、 召 开 的 会 议 、 发 表 的 论文 和 专著 数 都 惊人 地 增加 了 。 

我 在 接受 Donald E. Fink X (该 奖 是 奖 给 在 IEEE 杂志 上 发 表 过 最 佳 文章 的 人 ,我 和 Hell- 
man 在 1980 年 共同 获得 该 奖 ) 发 表演 讲 时 ， 告 诉 听众 ， 我 在 写 “Privacy and Authentication” 
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(保密 性 与 鉴别 ) 一 文 时 有 一 种 体验 一 一 这 种 体验 ， 我 相信 和 即使 在 那些 参加 WEEE 授奖 会 的 
著名 学 者 当中 也 是 罕见 的 : 我 写 的 那 篇 文章 ， 并 非 我 的 研究 结果 而 是 我 想 要 研究 的 课题 。 因 
为 在 我 首次 沉迷 于 密码 学 的 时 候 ， 这 类 文章 根本 就 找 不 到 。 如 果 那 时 我 可 以 走 进 斯 坦 福 书 
店 ， 挑 选 现代 密码 学 的 书籍 ， 我 也 许 能 在 多 年 前 就 了 解 这 个 领域 了 。 但 是 在 1972 年 秋季 ， 
我 能 找到 的 资料 仅仅 是 几 篇 经 典 论文 和 一 些 难以 理解 的 技术 报告 而 已 。 

现在 的 研究 人 员 再 也 不 会 遇 到 这 样 的 问题 了 ， 他 们 的 问题 是 要 在 大 量 的 文章 和 书籍 中 选 
择 从 何 处 人 手 。 研 究 人 员 如 此 ， 那 些 仅仅 想 利 用 密码 学 的 程序 员 和 工程 师 又 会 怎样 呢 ? 这 些 
人 会 转向 哪里 呢 ? 直到 今天 ， 在 能 够 设计 出 一 般 文 章 中 所 描述 的 那 类 密码 实用 程序 之 前 ， 花 
费 大 量 时 间 寻 找 并 研究 那些 文献 仍然 是 很 有 必要 的 。 

本 书 正好 填补 了 这 个 空白 。 作 者 Bruce Schneier 从 通信 保密 性 的 目的 和 达到 目的 所 用 的 
基本 程序 实例 人 手 ， 对 20 年 来 公开 研究 的 全 部 成 果 做 了 全 景 式 的 概括 。 书 名 开门 见 山 ， 从 
首次 叫 某 人 进行 保密 会 话 的 世俗 目的 ， 到 数字 货币 和 以 密码 方式 进行 保密 选举 的 可 能 性 ， 到 
处 都 可 以 发 现 应 用 密码 学 的 地 方 。 

Schneier 不 满足 于 这 本 书 仅仅 涉及 真实 世界 〈 因 为 此 书 叙 述 了 直至 代码 的 全 部 过 程 )， 
他 还 叙述 了 发 展 密码 学 和 应 用 密码 学 的 那些 领域 ， 讨 论 了 从 国际 密码 研究 协会 到 国家 安全 局 
这 样 的 一 些 机 构 。 

在 20 世纪 70 年 代 后 期 和 80 年 代 初 期 ， 当 公众 显示 出 对 密码 学 的 兴趣 时 ， 国 家 安全 局 
(NSA)， 即 美国 官方 密码 机 构 ， 曾 多 次 试图 平息 它 。 第 一 次 是 一 封 来 自 一 名 长 期 在 NSA 工 
作 的 雇员 的 信 ， 据 说 这 封 信 是 这 个 雇员 自己 写 的 ， 此 雇员 自 认 为 如 此 ， 表 面 上 看 来 亦 是 如 
此 。 这 封 信 是 发 给 IEEE 的 ， 它 警告 密码 资料 的 出 版 违反 了 国际 武器 交易 条 例 (ITAR)。 然 
而 这 种 观点 并 没有 被 条 例 本 身 所 支持 (条 例 明显 不 包括 已 发 表 的 资料 )。 但 这 封 信 却 为 密码 
学 的 公开 实践 和 1977 年 的 信息 论 专题 研讨 会 做 了 许多 意 想不到 的 宣传 。 

一 个 更 为 严重 的 事态 发 生 在 1980 年 ， 当 时 NSA 为 美国 教育 委员 会 提供 资金 ， 说 服 国会 
对 密码 学 领域 的 出 版 物 进 行 合法 的 控制 。 结 果 与 NSA 的 愿望 大 相 径 庭 ， 形 成 了 密码 学 论文 
自愿 送审 的 程序 。 研 究 人 员 在 论文 发 表 之 前 需 就 发 表 是 否 有 损 国家 利益 征询 NSA 的 意见 。 

随 着 20 世纪 80 年 代 的 到 来 ，NSA 将 重点 更 多 地 集中 在 密码 学 的 实际 应 用 ， 而 不 是 研 
究 上 。 现 有 的 法 律 授权 NSA 通过 国务 院 控 制 密码 设备 的 出 口 。 随 着 商务 活动 的 日 益 国际 化 
和 世界 市 场 上 美国 份额 的 减少 ， 国 内 外 市 场 上 需要 单一 产品 的 压力 增加 了 。 这 种 单一 产品 受 
SHAH, Fe NSA 不 仅 对 出 口 什 么 , 而且 也 对 在 美国 出 售 什么 都 施加 了 相当 大 的 
影响 。 

密码 学 的 公开 使 用 面临 一 种 新 的 挑战 ， 政 府 建议 在 可 防止 涂改 的 芯片 上 用 一 种 秘密 算法 
代 蔡 广为人知 且 随 处 可 得 的 DES， 这 些 芯 片 将 含有 政府 监控 所 需 的 编纂 机 制 。 这 种 “ 密 钥 
托管 ”计划 的 弊病 是 它 潜 在 地 损害 了 个 人 隐私 ， 并 且 以 前 的 软件 加 密 不 得 不 以 高 价 增加 硬件 
来 实现 。 氨 今 ， 密 钥 托管 产品 正 值 熊市， 这 种 方案 却 已 经 引起 了 广泛 的 批评 ， 特 别 是 那些 独 
立 的 密码 学 家 怨 声 载 道 。 然 而 ， 人 们 看 到 更 多 的 是 编程 技术 的 未 来 而 不 是 政治 ， 并 且 还 加 售 
努力 向 世界 提供 更 强 的 密码 ， 这 种 密码 能 够 实现 对 公众 的 监督 。 

从 出 口 控制 法 律 取代 第 一 修正 案 的 意见 来 看 ，1980 年 发 生 了 大 倒退 ， 当 时 《Federal 
Register》( 联 邦 公 报 ) 公布 了 对 ITAR 的 修正 ， 其 中 提 到 : “…… 增 加 的 条 款 清楚 地 说 明 ， 
技术 数据 出 口 的 规定 并 不 干预 第 一 修正 案 中 个 人 的 权利 .” 但 事实 上， 第 一 修正 案 和 出 口 控 
制 法 律 的 紧张 关系 还 未 消除 ， 最 近 由 RSA 数据 安全 公司 召开 的 一 次 会 议 清楚 地 表明 了 这 一 
点 。 出 口 控制 办 公 室 的 NSA 代表 表达 了 如 下 意见 : 发 表 密 码 程序 的 人 从 法 律 上 说 是 处 在 
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“灰色 领域 "。 如 果真 是 这 样 的 话 ， 本 书 第 1 版 业已 曝光 ， 内 容 也 处 在 “灰色 领域 ”中 。 本 书 
自身 的 出 口 申请 已 经 得 到 军需 品 控制 委员 会 当局 在 出 版 物 条 款 下 的 认可 ， 但 是 ， 装 在 磁盘 上 
的 程序 的 出 口 申请 却 遭 到 拒绝 。 

NSA 的 策略 从 试图 控制 密码 研究 到 紧 紧 抓 住 密码 产品 的 开发 和 应 用 的 改变 ， 可 能 是 由 
于 认识 到 即便 是 世界 上 所 有 最 好 的 密码 学 论文 都 不 能 保护 哪怕 是 一 位 的 信息 。 如 果 束 之 高 
阁 ， 本 书 也 许 不 比 以 前 的 书 和 文章 更 好 ， 但 若 置 于 程序 员 编写 密码 的 工作 站 旁 ， 这 本 书 无 疑 


是 最 好 的 。 


Whitfield Diffie 
于 加 州 Mountain View 


前 言 
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世界 上 有 两 种 密码 : 一 种 是 防止 小 孩 偷 看 你 的 文件 ; 男 一 种 是 防止 当局 阅读 你 的 文件 。 
本 书写 的 是 后 一 种 情况 。 

如 果 把 一 封 信和 锁 在 保险 柜 中 ， 把 保险 柜 藏 在 纽约 的 某 个 地 方 ， 然 后 告诉 你 去 看 这 封 信 ， 
这 并 不 是 安全 ， 而 是 隐藏 。 相 反 ， 如 果 把 一 封 信 锁 在 保险 柜 中 ， 然 后 把 保险 柜 及 其 设计 规范 
和 许多 同样 的 保险 柜 给 你 ， 以 便 你 和 世界 上 最 好 的 开 保 险 柜 的 专家 能 够 研究 锁 的 装置 ， 而 你 
还 是 无 法 打开 保险 柜 去 读 这 封 信 ， 这 才 是 安全 的 概念 。 

许多 年 来 ， 密 码 学 是 军队 专 有 的 领域 。NSA 和 苏联 、 英 国 、 法 国 、 以 色 列 以 及 其 他 国 
家 的 安全 机 构 已 将 大 量 的 财力 投入 到 加 密 自 己 的 通信 ， 同 时 又 千方百计 地 破译 别人 的 通信 的 
残酷 游戏 中 。 面 对 这 些 政府 ， 个 人 既 无 专业 知识 又 无 足够 财力 保护 自己 的 秘密 。 

在 过 去 的 20 年 里 ， 公 开 的 密码 学 研究 爆炸 性 地 增长 。 从 第 二 次 世界 大 战 以 来 ， 当 普通 
公民 还 在 长 期 使 用 经 典 密码 时 ， 计 算 机 密码 学 已 成 为 世界 军事 专 有 的 领域 。 今 天 ， 最 新 的 计 
算 机 密码 学 已 应 用 到 军事 机 构 外 ， 现 在 就 连 非 专业 人 员 都 可 以 利用 密码 技术 去 阻止 最 强大 的 
敌人 人， 包括 军 方 的 安全 机 构 。 

普通 百姓 真 的 需要 这 种 保密 性 吗 ? 是 的 ， 他 们 可 能 正在 策划 一 次 政治 运动 ， 讨 论 税收 或 
正 干 一 件 非法 的 事情 ; 也 可 能 正 设计 一 件 新 产品 ， 讨 论 一 种 市 场 策 略 ， 或 计划 接管 竞争 对 手 
的 生意 ; 或 者 可 能 生活 在 一 个 不 尊重 个 人 隐私 权 的 国家 ， 也 可 能 做 一 些 他 们 自己 认为 并 非 违 
法 实际 却 是 非法 的 事情 。 不 管理 由 是 什么 ， 他 的 数据 和 通信 都 是 私人 的 、 秘 密 的 ， 与 他 人 
无 关 。 

本 书 正好 在 混乱 的 年 代 出 版 。1994 年 ， 克 林 顿 当局 核准 了 托管 加 密 标 准 〈 包 括 Clipper 
芯片 和 Fortezza 卡 )， 并 将 数字 电话 法 案 签署 成 为 法 律 。 这 两 个 行政 令 企 图 确保 政府 实施 电 
子 监控 的 能 力 。 

一 些 危险 的 Orwellian 假设 在 作 崇 : 政府 有 权 侦 听 私 人 通信 ， 个 人 对 政府 保守 秘密 是 错 
误 的 。 如 果 可 能 ， 法 律 总 有 能 力 强 制 实施 法 院 授 权 的 监控 ， 但 是 ， 这 是 公民 第 一 次 被 迫 采 取 
“积极 措施 ”， 以 使 他 们 上 自己 能 被 监控 。 这 两 个 行政 令 并 不 是 政府 在 某 个 模糊 范围 内 的 简单 倡 
议 ， 而 是 一 种 先发制人 的 单方 面 尝试 ， 则 在 侵占 以 前 属于 公民 的 权力 。 

Clipper 和 数字 电话 不 保护 隐私 ， 它 强迫 个 人 无 条 件 地 相信 政府 将 尊重 他 们 的 隐私 。 非 
法 窃听 小 马丁 ， 路 德 ， 金 电话 的 执法 机 构 ， 同 样 也 能 容易 地 窃听 用 Clipper 保护 的 电话 。 最 
近 ， 地 方 警 察 机 关 在 不 少 管区 都 有 因 非 法 窃听 而 被 控 有 罪 或 被 提出 民事 诉讼 的 事件 ， 这 些 地 
方 包括 马里 兰 、 上 康涅狄格、 佛蒙特、 佐治亚、 密苏里 和 内 华 达 。 为 了 随时 方便 警察 局 的 工作 
而 配置 这 种 技术 是 很 糟糕 的 想法 。 

这 给 我 们 的 教训 是 采用 法 律 手段 并 不 能 充分 保护 我 们 自己 ， 还 需要 用 数学 来 保护 自己 。 
加 密 太 重要 了 ， 不 能 让 给 政府 独 享 。 

本 书 为 你 提供 了 一 些 可 用 来 保护 自己 隐私 的 工具 。 提 供 密 码 产品 可 能 被 宣布 为 非法 ， 但 
提供 有 关 的 信息 绝 不 会 犯法 。 


怎样 阅读 本 书 
我 写本 书 的 目的 是 为 了 在 真实 地 介绍 密码 学 的 同时 给 出 全 面 的 参考 文献 。 我 尽量 在 不 损 


失 正 确 性 的 情况 下 保持 本 书 的 可 读 性 ， 我 不 想 使 本 书 成 为 一 本 数学 书 。 虽 然 我 无 意 给 出 任何 
错误 信息 ， 但 匆忙 中 理论 难免 有 失 严谨 。 对 形式 方法 感 兴趣 的 人 ， 可 以 参考 大 量 的 学 术 
文献 。 

第 1 章 介 绍 密码 学 ， 定 义 许多 术语 ， 简 要 讨论 计算 机 出 现 前 密码 学 的 情况 。 

第 一 部 分 (第 2~6 章 ) 描述 密码 学 的 各 种 协议 : 人 们 能 用 密码 学 做 什么 。 协 议 范围 从 
简单 〈 一 人 向 另 一 人 发 送 加 密 消 息 ) 到 复杂 〈 在 电话 上 抛掷 硬币 ) 再 到 深奥 (秘密 的 和 匿名 
的 数字 货币 交易 ) 。 这 些 协 议 中 有 些 一 目 了 然 ， 有 些 却 十 分 奇异 。 密 码 学 能 够 解决 大 多 数 人 
绝 没有 认识 到 的 许多 问题 。 

第 二 部 分 〈 第 7 一 10 章 ) 讨论 密码 技术 。 对 密码 学 的 大 多 数 基本 应 用 来 说 ， 这 一 部 分 的 
4 章 都 很 重要 。 第 7 章 和 第 8 章 讨 论 密 钥 : 密 钥 应 选 多 长 才能 保密 ， 怎 样 产 生 、 存 储 密 铀 ， 
怎样 处 理 密 钥 等 。 密 钥 管 理 是 密码 学 最 困难 的 部 分 ， 经 常 是 保密 系统 的 一 个 致命 弱点 。 第 9 
章 讨 论 使 用 密码 算法 的 不 同方 法 。 第 10 章 给 出 与 算法 有 关 的 细节 : 怎样 选择 、 实 现 和 使 用 

第 三 部 分 (第 11 一 23 章 ) 列 出 多 个 算法 。 第 11 章 提供 数学 背景 ， 如 果 你 对 公开 密 钥 算 
法 感 兴趣 ， 那 么 这 一 章 你 一 定 要 了 解 。 如 果 你 只 想 实 现 DES (或 类 似 的 东西 )， 则 可 以 跳 过 
这 一 章 。 第 12 章 讨 论 DES: DES 算法 、 它 的 历史 、 安 全 性 和 一 些 变型 。 第 13 一 15 章 讨 论 
其 他 的 分 组 算法 : 如 果 你 需要 比 DES 更 保密 的 算法 ， 请 阅读 IDEA 和 三 重 DES 算法 这 节 ; 
如 果 你 想 知 道 一 系列 比 DES 算法 更 安全 的 算法 ， 就 请 读 完 整 章 。 第 16 章 和 第 17 章 讨论 序 
列 密码 算法 。 第 18 章 集 中 讨论 单 向 散 列 函数 ， 虽 然 讨 论 了 多 种 单 向 散 列 函数 ， 但 MDS 和 
SHA 是 最 通用 的 。 第 19 章 讨 论 公 开 密 钥 加 密 算法 。 第 20 章 讨论 公开 密 钥 数字 签名 算法 。 
第 21 章 讨论 公开 密 钥 鉴 别 算 法 。 第 22 章 讨 论 公 开 密 钥 交 换算 法 。 几 种 重要 的 公开 密 钥 算 法 
分 别 是 RSA、DSA、Fiat-Shamir 和 Diffie-Hellman。 第 23 章 讨论 更 深奥 的 公开 密 钥 算法 和 
协议 ， 这 一 章 的 数学 知识 非常 复杂 ， 请 你 做 好 思想 准备 。 

第 四 部 分 (第 24 一 25 章 ) 转向 密码 学 的 真实 世界 。 第 24 章 讨论 这 些 算法 和 协议 的 一 些 
实际 实现 ; 第 25 章 涉及 围绕 密码 学 的 一 些 政治 问题 。 这 些 章节 并 不 全 面 。 

此 外 ， 本 书 还 包括 在 第 三 部 分 讨论 的 10 个 算法 的 源 代码 清单 ， 由 于 篇 幅 的 限制 ， 不 可 
能 给 出 所 有 的 源 代码 ， 况 且 密 码 的 源 代码 不 能 出 口 (非常 奇怪 的 是 ， 国 务 院 允 许 本 书 的 第 1 
版 和 源 代码 出 口 ， 但 不 允许 含有 同样 源 代码 的 计算 机 磁盘 出 口 )。 配 套 的 源 代码 盘 中 包括 的 
源 代码 比 本 书 中 列 出 的 要 多 得 多 ， 这 也 许 是 除 军事 机 构 以 外 最 大 的 密码 源 代码 集 。 我 只 能 给 
住 在 美国 和 加 拿 大 的 公民 发 送 源 代码 盘 ， 但 我 希望 和 有 一 天 这 种 情况 会 改变 。 

对 本 书 的 一 种 批评 是 ， 它 的 广博 性 代 蔡 了 可 读 性 。 这 是 对 的 ， 但 我 想 给 可 能 偶然 在 学 术 
文献 或 产品 中 需要 算法 的 人 提供 参考 。 密 码 学 领域 正 日 趋 热门 ， 这 是 第 一 次 把 这 么 多 资料 收 
集 在 一 本 书 中 。 即 使 这 样 ,， 还 是 有 许多 东西 限于 篇 幅 舍 弃 了 ,但 尽量 保留 了 那些 我 认为 是 重 
要 的 、 有 实用 价值 的 或 者 有 趣 的 专题 。 如 果 我 对 某 一 专题 讨论 不 深 ， 我 会 给 出 深入 讨论 这 些 

我 在 写作 过 程 中 已 尽力 查 出 和 根除 书 中 的 错误 ， 但 我 相信 不 可 能 消除 所 有 的 错误 。 第 2 
版 肯定 比 第 1 版 的 错误 少 得 多 。 勘 误 表 可 以 从 我 这 里 得 到 ， 并 且 它 定期 发 往 Usenet 的 新 闻 
组 sci. crypt。 如 果 读 者 发 现 错误 ， 请 通知 我 ， 我 将 不 胜 感 谢 。 


Bruce Schneier 
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Applied Cryptography: Protocols，Algorithms，and Source Code in C，Second Edition 


基础 知识 





1.1 专业 术语 


1.1.1 发 送 者 和 接收 者 


假设 发 送 者 (sender) 想 发 送 消息 给 接收 者 (receiver)， 并 且 想 安全 地 发 送信 息 : 她 想 
确信 和 窃听 者 不 能 阅读 发 送 的 消息 。 


1.1.2 消息 和 加 密 


消息 (message) 称 为 明文 (plaintext)。 用 某 种 方法 伪装 消息 以 隐藏 它 的 内 容 的 过 程 称 
为 加 密 (encryption)， 被 加 密 的 消息 称 为 密 文 ciphertext)， 而 把 密 文 转变 为 明文 的 过 程 称 
HE (decryption), K 1-1 表明 了 这 个 过 程 。 

(如 果 你 遵循 ISO 7498 一 2 标准 ， 那 就 用 到 术语 “ 译 成 密码 (encipher)” 和 “人 解 译 密码 
(decipher)”。 某 些 文化 似乎 认为 术语 “加 密 Cencrypt)” Al “HR Cdecrypt)” SAAR, 
如 同 陈 年 腐 尸 。) 


ae - 
图 1-1 加 密 和 解密 


使 消息 保密 的 技术 和 科学 叫做 密码 编码 学 〈cryptography)， 从 事 此 行 的 人 叫做 密码 编 
码 者 (cryptographer)， 密 码 分 析 者 (cryptanalyst) 是 从 事 密码 分 析 的 专业 人 员 ， 密 码 分 析 
学 (cryptanalysis) 就 是 破译 密 文 的 科学 和 技术 ， 即 揭穿 伪装 。 密 码 学 (cryptology) 作为 
数学 的 一 个 分 支 ， 包括 密码 编码 学 和 密码 分 析 学 两 部 分 ， 精 于 此 道 的 人 称 为 密码 学 家 
(cryptologist)， 现 代 的 密码 学 家 通常 也 是 理论 数学 家 。 

HXH MEP 表示 ,， 它 可 能 是 位 序列 、 文 本 文件 、 位 图 、 数 字 化 的 语音 序列 或 数字 化 
的 视频 图 像 等 。 对 于 计算 机 ，M 指 简 单 的 二 进 制 数 据 (除了 这 一 章 外 ， 本 书 只 涉及 二 进 制 
数据 和 计算 机 密码 学 )。 明 文 可 被 传送 或 存储 ， 无 论 哪 种 情况 ，M 指 待 加 密 的 消息 。 

MOH C 表示 ， 它 也 是 二 进 制 数据 ， 有 时 和 M 一 样 大 ， 有 时 比 M 大 (通过 压缩 和 加 密 
的 结合 ，C 有 可 能 比 P 小 。 仅 通过 加 密 通 常 做 不 到 这 点 )。 加 密 函 数 记 作用 于 M 得 到 密 文 
C， 可 用 数学 公式 表示 : 

E(M) =C 
相反 地 ， 解 密 函 数 D 作用 于 C 产生 M 
D(C) = M 
先 加 密 后 再 解密 ， 原 始 的 明文 将 恢复 ， 故 下 面 的 等 式 必须 成 立 : 
D(E(M)) =M 


1.1.3 鉴别 、 完 整 性 和 抗 抵赖 
除了 提供 机 密 性 外 ， 密 码 学 通常 还 有 其 他 的 作用 : 
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。 鉴别 (authentication) ”消息 的 接收 者 应 该 能 够 确认 消息 的 来 源 ， 入 侵 者 不 可 能 伪装 成 
他 人 。 
。 完整 性 (integrity) ”消息 的 接收 者 应 该 能 够 验证 在 传送 过 程 中 消息 没有 被 修改 ; 
入 侵 者 不 可 能 用 假 消息 代替 合法 消息 。 
e 抗 抵赖 (nonrepudiation) ”发 送 者 事后 不 可 能 虚假 地 否认 他 发 送 的 消息 。 
这 些 功 能 是 通过 计算 机 进行 社会 交流 至 关 重要 的 需求 ， 就 像 面 对 面 交 流 一 样 。 某 人 是 否 就 
是 他 说 的 人 ; 某 人 的 身份 证 明文 件 〈 驾 驶 执照 、 学 历 或 者 护照 ) 是 否 有 效 ; 声称 从 某 人 那里 来 
的 文件 是 否 确 实 从 那个 人 那里 来 的 ;这 些 事情 都 是 通过 鉴别 、 完 整 性 和 抗 抵赖 来 实现 的 。 


1.1.4 算法 和 密 钥 


密码 算法 (cryptographic algorithm) 也 叫做 密码 (cipher)， 是 用 于 加 密 和 解密 的 数学 
函数 (通常 情况 下 ， 有 两 个 相关 的 函数 : 一 个 用 作 加 密 ， 另 一 个 用 作 解 密 ) 。 

如 果 算 法 的 保密 性 是 基于 保持 算法 的 秘密 ， 这 种 算法 称 为 受 限 制 的 〈restricted) 算法 。 
受 限 制 的 算法 具有 历史 意义 ， 但 按 现在 的 标准 ， 它 们 的 保密 性 已 远 远 不 够 。 大 的 或 经 常 变 换 
的 用 户 组 织 不 能 使 用 它们 ， 因 为 如 果 有 一 个 用 户 离开 这 个 组 织 ， 其 他 的 用 户 就 必须 改换 另外 
不 同 的 算法 。 如 果 有 人 无 意 泄露 了 这 个 秘密 ， 所 有 人 都 必须 改变 他 们 的 算法 。 

更 糟 的 是 ， 受 限制 的 密码 算法 不 可 能 进行 质量 控制 或 标准 化 。 每 个 用 户 组 织 必须 有 他 们 
自己 的 唯一 算法 。 这 样 的 组 织 不 可 能 采用 流行 的 硬件 或 软件 产品 ， 因 为 锣 听 者 可 以 买 到 这 些 
流行 产品 并 学 习 算 法 ， 于 是 用 户 不 得 不 自己 编写 算法 并 予以 实现 ， 如 果 这 个 组 织 中 没有 好 的 
密码 学 家 ， 那 么 他 们 就 无 法 知道 他 们 是 否 拥 有 安全 的 算法 。 

尽管 有 这 些 主要 缺陷 ， 但 受 限 制 的 算法 对 低 密 级 的 应 用 来 说 还 是 很 流行 的 ， 用 户 或 者 没 
有 认识 到 或 者 不 在 乎 他 们 系统 中 存在 的 问题 。 

现代 密码 学 用 密 钥 (key) 解决 了 这 个 问题 ， 密 钥 用 K 表示 。K 可 以 是 很 多 数值 里 的 任 
意 值 。 密 钥 K 的 可 能 取 值 范围 叫做 密 钥 空 间 (keyspace)。 加 密 和 人 解密 运算 都 使 用 这 个 密 角 
〈 即 运算 都 依赖 于 密 钥 ， 并 用 K 作为 下 标 表 示 )， 这 样 ， 加 /解密 函数 现在 变 成 : 

Kx(M) =C 
Dg (C) =M 
这 些 函 数 具 有 下 面 的 特性 〈 见 图 1-2): 
Dk(Ek(M)) =M 
密 钥 Ba 


= -i 
图 1-2 使 用 一 个 密 钥 的 加 /解密 


有 些 算 法 使 用 不 同 的 加 密 密 钥 和 解密 密 钥 〈 见 图 1-3)， 也 就 是 说 ， 加 密 密 钥 Ki 与 相应 
的 解密 密 钥 K; 不 同 ， 在 这 种 情况 下 : 
Ex, (M) =C 
Dy, (C) =M 
Dx, (Ex, (M)) = M 
所 有 这 些 算 法 的 安全 性 都 基于 密 钥 的 安全 性 ， 而 不 是 基于 算法 细节 的 安全 性 。 这 就 意味 
着 算法 可 以 公开 ， 可 以 被 分 析 。 可 以 大 量 生产 使 用 算法 的 产品 。 即 使 偷 听 者 知道 你 的 算法 也 
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没有 关系 。 如 果 他 不 知道 你 使 用 的 具体 密 钥 ， 他 就 不 可 能 阅读 你 的 消息 。 


加 密 解密 
BA BA 


= = iii 


图 1-3 ”使 用 两 个 密 钥 的 加 密 / 解 密 
密码 系统 (cryptosystem) 由 算法 以 及 所 有 可 能 的 明文 、 密 文 和 密 钥 组 成 。 


1.1.5 对 称 算 法 


基于 密 钥 的 算法 通常 有 两 类 : 对 称 算法 和 公开 密 钥 算法 。 对 称 算法 (symmetric algo- 
rithm) 有 时 又 叫做 传统 密码 算法 ， 就 是 加 密 密 钥 能 够 从 解密 密 钥 中 推算 出 来 ， 反 过 来 也 成 
立 。 在 大 多 数 对 称 算法 中 ， 加 密 / 解 密 密 钥 是 相同 的 。 这 些 算 法 也 叫做 秘密 密 钥 算 法 或 单 密 
钥 算 法 ， 它 要 求 发 送 者 和 接收 者 在 安全 通信 之 前 ， 商 定 一 个 密 钥 。 对 称 算 法 的 安全 性 依赖 于 
密 钥 ， 泄 露 密 钥 就 意味 着 任何 人 都 能 对 消息 进行 加 /解密 。 只 要 通信 需要 保密 ， 密 钥 就 必须 
保密 。 
对 称 算法 的 加 密 和 解密 表示 为 : 
Ex(M) = C 
Dk(C) = M 
对 称 算法 可 分 为 两 类 。 一 次 只 对 明文 中 的 单个 位 〈 有 时 对 字 节 ) 运算 的 算法 称 为 序列 算 
法 (stream algorithm) 或 序列 密码 (stream cipher) 。 另 一 类 算法 是 对 明文 的 一 组 位 进行 运 
算 ， 这 些 位 组 称 为 分 组 〈block)， 相 应 的 算法 称 为 分 组 算法 (block algorithm) 或 分 组 密码 
(biock cipher) 。 现 代 计 算 机 密码 算法 的 典型 分 组 长 度 为 64 位 这 个 长 度 大 到 足以 防止 分 
析 破 译 ， 但 又 小 到 足以 方便 使 用 《〈 在 计算 机 出 现 前 ， 算 法 普遍 地 每 次 只 对 明文 的 一 个 字符 运 
算 ， 可 以 认为 序列 密码 是 对 字符 序列 的 运算 ) 。 





1.1.6 公开 密 钥 算法 


公开 密 钥 算法 (public-key algorithm， 也 叫做 非 对 称 算法 ) 是 这 样 设计 的 ， 用 作 加 密 的 
密 钥 不 同 于 用 作 解 密 的 密 钥 ， 而 且 解 密 密 钥 不 能 根据 加 密 密 钥 计算 出 来 〈 至 少 在 合理 假定 的 
长 时 间 内 )。 之 所 以 叫做 “公开 密 钥 ”算法 ， 是 因为 加 密 密 钥 能 够 公开 ， 即 陌生 者 能 用 加 密 
密 钥 加 密 信息 ， 但 只 有 用 相应 的 解密 密 钥 才能 解密 信息 。 在 这 些 系统 中 ， 加 密 密 钥 叫做 公开 
密 钥 (public-key， 简 称 公 和 钥 )， 解 密 密 钥 叫 做 私人 密 钥 (private key， 简 称 私 钥 )。 私 人 密 
钥 有 时 也 叫 秘 密 密 钥 。 为 了 避免 与 对 称 算 法 混淆 ， 此 处 不 用 秘密 密 钥 这 个 名 字 。 
用 公开 密 钥 K 加 密 可 表示 为 
Ex(M) = C 
虽然 公开 密 钥 和 私人 密 钥 不 同 ， 但 用 相应 的 私人 密 钥 解密 可 表示 为 : 
Dx(C) = M 
有 时 消息 用 私人 密 钥 加 密 而 用 公开 密 钥 解密 ， 这 用 于 数字 签名 AI 2.6 节 )。 尽 管 可 
能 产生 混淆 ， 但 这 些 运算 可 分 别 表示 为 : 
Ex(M) = C 
D(C) =M 
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1.1.7 密码 分 析 

密码 编码 学 的 主要 目的 是 保持 明文 〈 或 密 钥 ， 或 明文 和 密 钥 ) 的 秘密 以 防止 偷 昕 者 (也 
叫 对 手 、 攻 击 者 、 截 取 者 、 人 侵 者 、 敌 手 或 干脆 称 为 敌人 ) 知晓 。 这 里 假设 偷 听 者 完全 能 够 
截获 发 送 者 和 接收 者 之 间 的 通信 。 

密码 分 析 学 是 在 不 知道 密 钥 的 情况 下 ， 人 恢复 明文 的 科学 。 成 功 的 密码 分 析 能 恢复 消息 的 
明文 或 密 钥 。 密 码 分 析 也 可 以 发 现 密码 体制 的 弱点 ， 最 终 得 到 上 述 结 果 “〈 密 钥 通过 非 密 码 分 
析 方 式 的 丢失 叫做 泄露 (compromise) ) 。 

对 密码 进行 分 析 的 尝试 称 为 攻击 attack), WHA A. Kerckhoffs 最 早 在 19 世纪 阐明 密 
码 分 析 的 一 个 基本 假设 ， 这 个 假设 就 是 秘密 必须 全 寅 于 密 钥 中 。Kerckhoffs 假设 密码 分 析 者 
已 有 密码 算法 及 其 实现 的 全 部 详细 资料 (当然 ， 可 以 假设 中 央 情 报 局 (CIA) 不 会 把 密码 算 
法 告诉 摩 萨 德 (Mossad) (Mossad 是 以 色 列 情报 组 织 。 一 一 译 者 注 )， 但 摩 萨 德 也 许 会 通过 
某 种 方法 推导 出 来 ) 。 在 实际 的 密码 分 析 中 并 不 总 是 有 这 些 详细 信息 ， 不 过 应 该 如 此 假设 。 
如 果 不 能 破译 算法 ， 即 便 了 解 算 法 如 何 工 作 也 是 徒然 的 。 如 果 连 算法 的 知识 都 没有 ， 就 肯定 
不 可 能 破译 它 。 

常用 的 密码 分 析 攻 击 有 四 类 ， 当 然 ， 每 一 类 都 假设 密码 分 析 者 知道 所 用 的 加 密 算法 的 全 
部 知识 : 

(1) 唯 密 文 攻击 (ciphertext-only attack) 。 密 码 分 析 者 有 一 些 消息 的 密 文 ， 这 些 消 息 都 
用 相同 加 密 算 法 加 密 。 密 码 分 析 者 的 任务 是 恢复 尽 可 能 多 的 明文 ， 或 者 最 好 能 推算 出 加 密 消 
息 的 密 钥 ， 以 便 可 采用 相同 的 密 钥 破解 其 他 被 加 密 的 消息 。 

EA: C.=Ex(P)), Co=Ex(CP2), "t, C= Ex(P.) 

推导 出 : Pi, Pos +, Pi; K 或 者 找 出 一 个 算法 从 Ci41 一 Er Pm) 推导 出 Paio 

(2) 已 知 明文 攻击 (known-plaintext attack) 。 密 码 分 析 者 不 仅 可 得 到 一 些 消息 的 密 文 ， 
而 且 也 知道 这 些 消 息 的 明文 。 分 析 者 的 任务 就 是 用 加 密 信息 推出 用 来 加 密 的 密 钥 或 导出 一 个 
算法 ， 此 算法 可 以 对 用 相同 密 钥 加 密 的 任何 新 消息 进行 解密 。 

ER: Pis OG=B(CP)s Pos C,=E,(P2), wy Pie C;=E,(P;) 

推导 出 : RAK. 或 从 Ca 5E, Pa) 推导 出 P41 的 算法 。 

(3) 选择 明文 攻击 (chosen-plaintext attack) 。 分 析 者 不 仅 可 得 到 一 些 消息 的 密 文 和 相 
应 的 明文 ， 而 且 他 们 也 可 选择 被 加 密 的 明文 。 这 比 已 知 明文 攻击 更 有 效 ， 因 为 密码 分 析 者 能 
选择 特定 的 明文 块 进行 加 密 ， 那 些 块 可 能 产生 更 多 关于 密 钥 的 信息 。 分 析 者 的 任务 是 推出 用 
来 加 密 消 息 的 密 钥 或 导出 一 个 算法 ， 此 算法 可 以 对 用 相同 密 钥 加 密 的 任何 新 消息 进行 解密 。 

B4: Pi, Ci 一 E(P1), Po, Co=E,(P2), .…, P;, C;==E,(P;), 其 中 P,, Po. - 
P: 可 由 密码 分 析 者 选择 。 

推导 出 : FAK, 或 从 Cui 5E (Pi) 推导 出 PH WARK. 

(4) 自 适 应 选择 明文 攻击 (adaptive-chosen-plaintext attack)。 这 是 选择 明文 攻击 的 特 
殊 情 况 。 密 码 分 析 者 不 仅 能 选择 被 加 密 的 明文 ， 而且 也 能 基于 以 前 加 密 的 结果 修正 这 个 选 
择 。 在 选择 明文 攻击 中 ， 密 码 分 析 者 还 可 以 选择 一 大 块 被 加 密 的 明文 。 而 在 自 适应 选择 密 文 
攻击 中 ， 可 选取 较 小 的 明文 块 ， 然 后 再 基于 第 一 块 的 结果 选择 另 一 个 明文 块 ， 以 此 类 推 。 

另外 还 有 至 少 三 类 其 他 的 密码 分 析 攻 击 。 

(5) 选择 密 文 攻击 (chosen-ciphertext attack)。 密 人 码 分 析 者 能 选择 不 同 的 被 加 密 的 密 
文 ， 并 可 得 到 对 应 的 解密 的 明文 。 例 如 ， 密 码 分 析 者 访问 一 个 防 帘 改 的 自动 解密 盒 ， 密 码 分 
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析 者 的 任务 是 推出 密 钥 。 

已 知 : Cis Pi=D: Ci)» Cz, Px=D (Cr), “5 Cis P=Di(G) 

推导 出 : K。 

这 种 攻击 主要 用 于 公开 密 钥 算 法 ， 这 将 在 19. 3 节 中 讨论 。 选 择 密 文 攻 击 有 时 也 可 有 效 地 用 
于 对 称 算法 (有 时 选择 明文 攻击 和 选择 密 文 攻击 一 起 称 为 选择 文本 攻击 (chosen-text attack) ) 。 

(6) 选择 密 钥 攻 击 (chosen-key attack)。 这 种 攻击 并 不 表示 密码 分 析 者 能 够 选择 密 钥 ， 
它 只 表示 密码 分 析 者 具有 不 同 密 钥 之 间 关 系 的 有 关 知 识 。 这 种 方法 有 点 奇特 禾 泌 ， 不 是 很 
实际 ， 将 在 12.4 节 讨 论 。 

(7) 软 磨 硬 泡 攻 击 (rubber-hose cryptanalysis) 。 密 码 分 析 者 威胁 、 勒 索 ， 或 者 折磨 革 
人 ， 直 到 他 给 出 密 钥 为 止 。 行 贿 有 时 称 为 购买 密 钥 攻 击 (purchase-key attack) 。 这 些 是 非常 
有 效 的 攻击 ， 并 且 经 常 是 破译 算法 的 最 好 途径 。 

已 知 明文 攻击 和 选择 明文 攻击 比 你 想象 的 更 常见 。 密 码 分 析 者 得 到 加 密 的 明文 消息 或 贿 
赂 某 人 去 加 密 所 选择 的 消息 ， 这 种 事情 时 有 所 闻 。 如 果 你 给 某 大 使 一 则 消息 ， 你 可 能 会 发 现 
该 消息 已 被 加 密 ， 并 被 送 回 他 的 国家 去 研究 。 密 码 分 析 者 也 许 知 道 ， 许 多 消息 有 标准 的 开头 
和 结尾 。 加 密 的 源码 特别 脆弱 ， 这 是 因为 有 规律 地 出 现 关 键 字 ， 如 # define, struct, else, 
return 等 。 被 加 密 的 可 执行 代码 也 有 同样 问题 ， 如 调用 郴 数 、 循 环 结构 等 。 已 知 明文 攻击 
(甚至 选择 明文 攻击 ) 在 第 二 次 世界 大 战 中 已 成 功 地 用 来 破译 德国 和 日 本 的 密码 。David 
Kahn 的 书 22 25 中 有 此 类 攻击 的 历史 例子 。 

不 要 忘记 Kerckhoffs 假设 : 如 果 新 密码 系统 的 强度 依赖 于 攻击 者 不 知道 算法 的 内 部 机 
理 ， 那 你 注定 会 失败 。 如 果 你 相信 保持 算法 的 内 部 秘密 比 让 研究 团体 公开 分 析 它 更 能 改进 密 
码 系 统 的 安全 性 ， 那 你 就 错 了 。 如 果 你 认为 别人 不 能 反 汇 编 你 的 代码 和 逆向 设计 你 的 算法 ， 
那 你 就 太 天 真 了 (1994 年 RC4 算法 就 发 生 了 这 种 情况 参见 17. 1 节 )。 最 好 的 算法 是 那 
些 已 经 公开 的 ， 并 经 过 世界 上 最 好 的 密码 分 析 家 多 年 的 攻击 ， 但 还 是 不 能 破译 的 算法 〈 国 家 
安全 局 对 外 保持 他 们 算法 的 秘密 ,但 他 们 有 世界 上 最 好 的 密码 分 析 家 在 内 部 工作 ， 你 却 没 
有 。 另 外 ， 他 们 互相 讨论 算法 ， 通 过 同行 审查 以 发 现 工 作 中 的 弱点 ) 。 

密码 分 析 者 也 并 不 是 总 能 知道 算法 。 例 如 ， 在 第 二 次 世界 大 战 中 美国 人 破译 日 本 人 的 外 
交 密 码 一 一 紫 密 (PURPLE) 就 是 一 个 例子 ， 而 且 美 国人 一 直 在 做 这 种 事 。 如 果 算 法 用 于 
商业 安全 程序 中 ， 那 么 分 析 这 个 程序 ， 把 算法 恢复 出 来 只 是 时 间 和 金钱 问题 ， 如 果 算 法 用 于 
军队 的 通信 系统 中 ， 那 么 购买 〈 或 窃取 ) 这 种 设备 ， 进 行 逆向 工程 恢复 算法 也 只 是 简单 的 时 
间 和 金钱 问题 。 

那些 因为 自己 不 能 破译 某 个 算法 就 草率 地 声称 有 一 个 不 可 破译 的 密码 的 人 要 么 是 天 才 ， 
要 么 是 笨蛋。 不 幸 的 是 ， 后 者 居多 。 和 于 万 要 提防 那些 一 味 吹 咕 算 法 的 优点 ， 但 又 拒绝 公开 的 
人 ， 相 信 他 们 的 算法 就 像 相信 骗 人 的 包 医 百 病 的 灵丹妙药 一 样 。 

好 的 密码 分 析 家 总 会 坚持 同行 审查 ， 试 图 把 不 好 的 算法 从 好 的 算法 中 剔除 出 去 。 





1.1.8 算法 的 安全 性 


根据 被 破译 的 难 易 程度 ， 不 同 的 密码 算法 具有 不 同 的 安全 等 级 。 如 果 破译 算法 的 代价 大 
于 加 密 数 据 的 价值 ， 那 么 你 可 能 是 安全 的 。 如 果 破 译 算法 所 需 的 时 间 比 加 密 数据 保密 的 时 间 
更 长 ， 那 么 你 可 能 是 安全 的 。 如 果 用 单 密 钥 加 密 的 数据 量 比 破 译 算法 需要 的 数据 量 少 得 多 ， 
那么 你 可 能 是 安全 的 。 

我 说 “可 能 ”， 因 为 在 密码 分 析 中 总 有 新 的 突破 。 另 一 方面 ， 随 着 时 间 的 推移 ， 大 多 数 数据 
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的 价值 会 越 来 越 小 。 而 数据 的 价值 总 是 比 解除 保护 它 的 安全 性 的 代价 更 小 ， 这 点 是 很 重要 的 。 

Lars Knudsen 把 破译 算法 分 为 不 同 的 类 别 ， 安 全 性 的 递减 顺序 为 : 

d) 全 部 破译 (total break) 。 密 码 分 析 者 找 出 密 钥 K, wR Dk (C) 二 了 P。 

(2) ZAS (global deduction) 。 密 码 分 析 者 找到 一 个 代替 算法 A， 在 不 知道 密 钥 K 
的 情况 下 ， 等 价 于 DOSP., 

(3) 实例 (或 局 部 ) 推导 instance (or local) deduction)。 密 码 分 析 者 从 截获 的 密 文中 找 出 
明文 。 

(4) 信息 推导 (information deduction)。 密 码 分 析 者 获得 一 些 有 关 密 钥 或 明文 的 信息 。 
这 些 信息 可 能 是 密 钥 的 几 位 、 有 关 明 文 格式 的 信息 等 。 

如 果 不 论 密码 分 析 者 有 多 少 密 文 ， 都 没有 足够 的 信息 恢复 出 明文 ， 那 么 这 个 算法 就 是 无 
条 件 保 密 的 〈unconditionally secure) 。 事 实 上， 只 有 一 次 一 密 乱 码 本 (参见 1.5 节 )， 才 是 
不 可 破 的 (给 出 无 限 多 的 资源 仍然 不 可 破 )。 所 有 其 他 的 密码 系统 在 唯 密 文 攻击 中 都 是 可 破 
的 ， 只 要 简单 地 一 个 接 一 个 地 去 尝试 每 种 可 能 的 密 钥 ， 并 且 检 查 所 得 明文 是 否 有 意义 ， 这 种 
方法 叫做 蛮 力 攻击 (brute-force attack, M 7.1 节 )。 

密码 学 更 关心 在 计算 上 不 可 破译 的 密码 系统 。 如 果 算 法 用 (现在 或 将 来 ) 可 得 到 的 资源 
都 不 能 破译 ， 这 个 算法 则 被 认为 是 计算 安全 的 (computationally secure， 有 时 称 做 强 的 )。 
准确 地 说 ,“ 可 用 资源 ”就 是 公开 数据 的 分 析 整 理 。 

可 以 用 不 同方 式 衡量 攻击 方法 的 复杂 性 〈 参 见 11. 1 4): 

(1) 数据 复杂 性 (data complexity) 。 用 于 攻击 输入 所 需要 的 数据 量 。 

(2) 处 理 复杂 性 (processing complexity) 。 完 成 攻击 所 需要 的 时 间 ， 也 经 常 称 做 工作 因 
素 (work factor), 

(3) 存储 需求 (storage requirement) 。 进 行 攻击 所 需要 的 存储 量 。 

作为 一 个 法 则 ， 攻 击 的 复杂 性 取 这 三 个 因数 的 最 小 值 。 有 些 攻 击 包 括 这 三 种 复杂 性 的 折 
中 : 存储 需求 越 大 ， 攻 击 可 能 越 快 。 

复杂 性 用 数量 级 来 表示 。 如 果 算 法 的 处 理 复杂 性 是 2”， 那 么 破译 这 个 算法 也 需要 2 
次 运算 〈 这 些 运算 可 能 非常 复杂 和 耗 时 ) 。 假 设 你 有 足够 的 计算 速度 去 完成 每 秒 钟 100 万 次 
运算 ， 并 且 用 100 万 个 并 行 处 理 器 完成 这 个 任务 ， 那 么 仍 需 花 费 10 "年 以 上 才能 找 出 密 钥 ， 
那 是 宇宙 年 龄 的 10 亿 售 。 

当 攻击 的 复杂 性 是 常数 时 〈 除 非 一 些 密 码 分 析 者 发 现 更 好 的 密码 分 析 攻 击 )， 就 只 取决 
于 计算 能 力 了 。 在 过 去 的 半 个 世纪 中 ， 计 算 能 力 已 得 到 显著 提高 ， 并 且 没 有 理由 认为 这 种 趋 
势 不 会 继续 。 许 多 密码 分 析 攻 击 用 并 行 处 理 机 进行 计算 非常 理想 : 这 个 任务 可 分 成 亿 万 个 子 
任务 ， 且 处 理 之 间 不 需要 相互 作用 。 一 种 算法 在 现 有 技术 条 件 下 不 可 破译 就 简单 地 宣称 是 安 
全 的 ， 未 免 有 些 冒 险 。 好 的 密码 系统 应 设计 成 能 抵御 未 来 许多 年 后 计算 能 力 的 发 展 。 


1.1.9 过 去 的 术语 

历史 上 ， 将 处 理 语言 单元 Ce. RIB. WES) 的 密码 系统 称 为 密 本 (code)。 例 如 ， 单 
词 OCELOT 可 能 是 整个 短语 TURN LEFT 90 DEGREES 的 密 文 ,单词 LOLLIPOP 可 能 是 
TURN RIGHT 90 DEGREES 的 密 文 ， 而 单词 BENT EAR 可 能 是 HOWITZER 的 密 文 。 这 种 类 
型 的 密 本 在 本 书 里 没有 讨论 ， 可 参见 文献 [L794，795]。 密 本 在 特殊 环境 中 才 有 用 ， 而 密码 在 
任何 情况 下 都 有 用 。 如 果 密 本 中 没有 ANTEATERS 这 一 条 ， 那 么 你 就 不 能 提 及 它 。 但 你 可 以 
用 密码 来 指 代 任何 东西 。 
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1.2 BSR 

RASA (steganography) 是 将 秘密 消息 隐藏 在 其 他 消息 中 ， 这 样 真正 存在 的 秘密 被 隐 
藏 了 。 通 常 发 送 者 写 一 篇 无 伤 大 雅 的 消息 ， 然 后 在 同一 张 纸 中 隐藏 秘密 消息 。 历 史上 的 隐 写 
方式 有 隐形 墨水 ， 用 针 在 选择 的 字符 上 刺 极 小 的 针眼 ， 在 手写 的 字符 之 间 留 下 细微 差别 ， 在 
打印 字符 上 用 铅笔 做 记号 ， 用 格子 盖 住 大 部 分 字符 等 。 

最 近 ， 人 们 在 图 像 中 隐藏 秘 密 消息 ， 用 图 像 每 字 节 的 最 不 重要 的 位 代替 消息 位 。 图 像 并 
没有 怎么 改变 〈 大 多 数 图 像 标准 规定 的 颜色 等 级 比 人 类 眼睛 能 够 觉察 到 的 多 得 多 ) 秘密 消息 
却 能 够 在 接收 端 剥离 出 来 。 用 这 种 方法 可 在 1024X 1024 灰 度 图 片 中 存储 64K 字 节 的 消息 。 
能 实现 此 技术 的 公开 程序 已 有 好 几 种 。 

Peter Wayner 的 模拟 函数 (mimic function) 也 能 使 消息 隐匿 。 这 类 函数 能 修改 消息 ， 
使 它 的 统计 模式 与 一 些 其 他 东西 相似 : 如 《纽约 时 报 》 的 题 录 部 分 、 莎 士 比 亚 的 戏剧 、 因 特 
网 上 的 新 闻 组 55842555 等 。 这 类 隐 写 术 思 弄 不 了 普通 人 ， 但 却 可 以 愚弄 那些 为 特定 的 消息 而 
有 目的 地 扫描 因特网 的 大 型 计算 机 。 


1.3 代替 密码 和 换 位 密码 

在 计算 机 出 现 前 ， 密 码 学 由 基于 字符 的 密码 算法 构成 。 不 同 的 密码 算法 是 字符 之 间 互 相 
代替 或 者 互相 换 位 ， 好 的 密码 算法 结合 这 两 种 方法 ， 每 次 进行 多 次 运算 。 

现在 事情 变 得 复杂 多 了 ， 但 原理 还 是 没 变 。 重 要 的 变化 是 算法 对 位 而 不 是 对 字母 进行 变 
换 ， 实 际 上 这 只 是 字母 表 长 度 上 的 改变 ， 从 26 个 元 素 变 为 2 个 元 素 。 大 多 数 好 的 密码 算法 
仍然 是 代替 和 换 位 的 元 素 组 合 。 


1.3.1 代替 密码 


代替 密码 (substitution cipher) 就 是 明文 中 每 一 个 字符 被 替换 成 密 文 中 的 另外 一 个 字 
符 。 接 收 者 对 密 文 进行 逆 替 换 就 可 以 恢复 明文 。 

在 经 典 密码 学 中 ， 有 四 种 类 型 的 代替 密码 : 

d) 简单 代替 密码 (simple substitution cipher), 或 单字 母 密码 (monoalphabetic 
cipher)。 就 是 明文 的 一 个 字符 用 相应 的 一 个 密 文字 符 代替 。 报 纸 中 的 密 报 就 是 简单 的 代替 
密码 。 

(2) 多 名 码 代 替 密 码 (homophonic substitution cipher) 。 它 与 简单 代替 密码 系统 相似 ， 
唯一 的 不 同 是 单个 字符 明文 可 以 映射 成 密 文 的 多 个 字符 之 一 。 例 如 ，A 可 能 对 应 于 5、13、 
25 或 56，B 可 能 对 应 于 7、19、31 或 42 等 。 

(3) 多 字母 代替 密码 (polygram substitution cipher) 。 字 符 块 被 成 组 加 密 。 例 如 ，ABA 
可 能 对 应 于 RTQ，ABB 可 能 对 应 于 SLL 等 。 

(4) 多 表 代 蔡 密码 (polyalphabetic substitution cipher) 。 由 多 个 简单 的 代替 密码 构成 。 例 
如 ， 可 能 使 用 5 个 不 同 的 简单 代替 密码 ， 单 独 的 一 个 字符 用 来 改变 明文 每 个 字符 的 位 置 。 

著名 的 Caesar 密码 就 是 一 种 简单 的 代替 密码 ， 它 的 每 一 个 明文 字符 都 由 其 右边 第 三 个 
字符 代替 CA h DRE, BAER, =, WHZRE, XHARA, YH BRE, ZH 
C 代替 )。 它 实际 上 非常 简单 ， 因 为 密 文 字符 是 明文 字符 的 环 移 ， 并 且 不 是 任意 置换 。 

ROT13 是 建立 在 UNIX 系统 上 的 简单 加 密 程序 ， 它 也 是 简单 代替 密码 。 在 这 种 密码 中 ， 
A 被 NN 代替 、B 被 O 代替 等 ， 每 一 个 字母 是 环 移 13 所 对 应 的 字母 。 
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用 ROT13 加 密 文件 两 遍 便 可 恢复 原始 的 文件 : 

P = ROT13(ROT13(P)) 

ROT13 并 非 为 保密 而 设计 的 ， 它 经 常用 在 Usenet 电子 邮件 中 隐藏 特定 的 内 容 ， 以 避免 
泄露 一 个 难题 的 解答 等 。 

简单 代替 密码 很 容易 破译 ， 因 为 它 没有 把 明文 不 同 字 母 的 出 现 频率 掩盖 起 来 。 在 好 的 密码 
分 析 者 重 构 明 文 之 前 ， 所 有 的 密 文 都 由 25 个 英文 字母 组 成 5059 ， 破 译 这 类 密码 的 算法 可 以 在 
文献 [578、587、1600、78、1475、1236、880] 中 找到 。 好 的 计算 机 破译 算法 见 文献 [703]. 

多 名 码 代 替 密 码 早 在 1401 年 由 Duchy Mantua 公司 使 用 ,这些 密码 比 简单 代替 密码 更 
难 破译 ， 但 仍 不 能 掩盖 明文 语言 的 所 有 统计 特性 。 用 已 知 明文 攻击 破译 这 种 密码 非常 容易 。 
唯 密 文 攻击 要 难 一 些 ， 但 在 计算 机 上 只 需 几 秒 ”…]。 详 情 见 [126] 中 的 叙述 。 

多 字母 代替 密码 是 字母 成 组 加 密 。1854 年 发 明了 Playfair 密码 ， 在 第 一 次 世界 大 战 中 英 
国人 就 采用 这 种 密码 5 。 它 对 成 对 字母 进行 加 密 。 它 的 密码 分 析 在 [587、1475、880] 中 
讨论 。Hill 密码 是 多 字母 代替 密码 的 另 一 个 例子 "5 裤 。 有 时 你 会 把 Huffman 编码 用 作 密 码 ， 
这 是 一 种 不 安全 的 多 字母 代替 密码 。 

多 表 代 替 密 码 由 Leon Battista 在 1568 4 AA! ， 在 美国 南北 战争 期 间 由 联军 使 用 。 
REEMA DIENT OO (特别 是 在 计算 机 的 帮助 下 )， 许 多 商用 计算 机 保密 产品 都 使 
用 这 种 密码 形式 ”3%*01 (怎么 破译 这 个 加 密 方案 的 细节 能 够 在 [135、139] 中 找到 ， 这 
个 方案 用 在 WordPerfect 中 )。 维 吉 尼 亚 (Vigenère) 密码 (1586 年 首先 发 表 ) 和 博 福 特 
(Beaufort) 密码 均 是 多 表 代替 密码 的 例子 。 

多 表 代 替 密 码 有 多 个 单字 母 密 钥 ,每 一 个 密 钥 用 来 加 密 一 个 明文 字母 。 第 一 个 密 钥 加 密 
明文 的 第 一 个 字母 ， 第 二 个 密 钥 加 密 明 文 的 第 二 个 字母 等 。 在 所 有 的 密 钥 用 完 后 ， 密 钥 再 循 
环 使 用 ， 若 有 20 个 单个 字母 密 钥 ， 那 么 每 隔 20 个 字母 的 明文 都 被 同一 个 密 钥 加 密 ， 这 叫做 
密码 的 周期 。 在 经 典 密码 学 中 ， 密 码 周 期 越 长 越 难 破译 ， 使 用 计算 机 就 能 够 轻易 破译 具有 很 
长 周期 的 代替 密码 。 

滚动 密 钥 密 码 (running-key cipher， 有 时 叫做 书本 密码 ) 是 多 表 代 替 密 码 的 另 一 个 例 
子 。 就 是 用 一 个 文本 去 加 密 另 一 个 文本 ， 即 使 这 种 密码 的 周期 与 文本 一 样 长 ， 它 也 很 容易 被 
pge s 


1.3.2 换 位 密码 


在 换 位 密码 中 ， 明 文 的 字母 保持 相同 ， 但 顺序 被 打 乱 了 。 在 简单 的 纵 行 换 位 密码 中 ， 明 
文 以 固定 的 宽度 水 平地 写 在 一 张 图 纸 上 ， 密 文 按 垂 直方 向 读 出 〈 见 图 1-4)， 解 密 就 是 将 密 文 
按 相 同 的 宽度 垂直 地 写 在 图 纸 上 ， 然 后 水 平地 读 出 明文 。 


明文 : COMPUTER GRAPHICS MAY BE SLOW BUT ATLEASTIT’S EXPENSIVE. 





C T E RGR 
SMA Y 
B UTA 
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密 文 : CAELP OPSEE MHLAN PLOSS UCWTI TSBIVEMUTE RATSG YAERB TX 











图 1-4 纵 行 换 位 密码 
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对 这 些 密码 的 分 析 在 [587、1475] 中 讨论 。 由 于 密 文字 符 与 明文 字符 相同 ， 所 以 对 密 
文 的 频数 分 析 将 揭示 每 个 字母 和 英语 有 相似 的 似 然 值 。 这 给 了 密码 分 析 者 很 好 的 线索 ， 他 能 
够 用 各 种 技术 决定 字母 的 准确 顺序 ， 以 便 得 到 明文 。 密 文通 过 二 次 换 位 密码 极 大 地 增强 了 安 
全 性 。 甚 至 有 更 强 的 换 位 密码 ， 但 计算 机 几乎 都 能 破译 。 

在 第 一 次 世界 大 战 中 ， 德 国人 所 用 的 ADFGVX 密码 就 是 一 种 换 位 密码 与 简单 代替 窗 
码 的 组 合 。 那 个 时 代 它 是 一 个 非常 复杂 的 算法 ， 但 被 法 国 密码 分 析 家 George Painvin 
mp, 

虽然 许多 现代 密码 也 使 用 换 位 ， 但 由 于 它 对 存储 要 求 很 大 ， 有 时 还 要 求 消息 为 某 个 特定 
的 长 度 ， 所 以 比较 麻烦 。 代 蔡 密码 更 常用 得 多 。 


1.3.3 转 轮 机 


在 20 世纪 20 年 代 ， 人 们 发 明了 各 种 机 械 加 密 设 备用 来 自动 处 理 加 密 。 大 多 数 是 基于 转 
轮 (rotor) 的 概念 ， 机 械 转 轮 用 线 连 起 来 完成 通常 的 密码 代替 。 

转 轮机 (rotor machine) 有 一 个 键盘 和 一 系列 转 轮 ， 它 是 维 吉 尼 亚 密码 的 一 种 实现 。 每 
个 转 轮 是 字母 的 任意 组 合 ， 有 26 个 位 置 ， 并 且 完 成 一 种 简单 代替 。 例 如 ， 一 个 转 轮 可 能 用 
线 连 起 来 以 完成 用 下 代替 A、 用 UU 代替 B、 用 工 代 替 C 等, 而且 转 轮 的 输出 栓 连 接 到 相 邻 
的 输入 栓 。 

例如 ， 在 4 个 转 轮 的 密码 机 中 ， 第 一 个 转 轮 可 能 用 下 代替 A、 第 二 个 转 轮 可 能 用 YY 代 
AEF. BPC ERR Y、 第 四 个 转 轮 可 能 用 C 代替 下 ，C 应 该 是 输出 密 文 。 当 转 
轮 移动 后 ， 下 一 次 代替 将 不 同 。 - 

为 使 机 器 更 安全 ， 可 把 多 种 转 轮 和 移动 的 齿轮 结合 起 来 。 因 为 所 有 转 轮 以 不 同 的 速度 移动 ， 
所 以 nn 个 转 轮 机 器 的 周期 是 26" 。 为 进一步 阻止 密码 分 析 ， 有 些 转 轮 机 在 每 个 转 轮 上 还 有 不 同 的 
位 置 号 。 

最 著名 的 转 轮 装置 是 恩 尼 格 马 (Enigma)， 它 在 第 二 次 世界 大 战 期 间 由 德国 人 使 用 。 其 
基本 原理 由 欧洲 的 Arthur Scherbius 和 Arvid Gerhard Damm 发 明 ，Arthur Scherbius 在 美 
国 申请 了 专利 ”4 。 德 国人 为 了 战 时 使 用 ， 大 大 地 加 强 了 其 基本 设计 。 

德国 人 使 用 的 恩 尼 格 马 有 3 个 转 轮 ， 从 5 个 转 轮 中 选择 。 转 轮机 中 有 一 块 稍微 改变 明文 
序列 的 插 板 ， 有 一 个 反射 轮 导 致 每 个 转 轮 对 每 一 个 明文 字母 操作 两 次 。 像 恩 尼 格 马 那 样 复杂 
的 密码 ， 在 第 二 次 世界 大 战 期 间 都 被 破译 了 。 波 兰 密码 小 组 最 早 破译 了 德国 的 恩 尼 格 马 ， 并 
告诉 了 英国 人 。 德 国人 在 战争 进行 过 程 中 修改 了 他 们 的 密码 ， 英 国人 继续 对 新 的 方案 进行 分 
析 ， 他 们 是 如 何 破译 的 参见 [794、86、448、498、446、880、1315、1587、690]。 有 关 怎 
么 破译 恩 尼 格 马 的 两 个 传奇 报道 在 [735、796] BGR. 


1.3.4 进一步 的 读物 


这 不 是 一 本 有 关 经 典 密码 学 的 书 ， 因 此 不 多 讨论 这 些 问题 。 计 算 机 出 现 前 有 两 本 优秀 的 
密码 学 著作 是 [587、1475]; 文献 [448] 提出 了 一 些 密码 机 的 现代 密码 分 析 方 法 ; Dorothy 
Denning 在 文献 [456] 中 讨论 了 许多 密码 ;而 文献 [880] 对 这 些 密码 做 了 很 多 复杂 的 数学 
分 析 ; 另 一 本 更 早 讨 论 模 拟 密 码 的 著作 见 文献 [99]; 文献 [579] 对 这 个 学 科 做 了 很 好 的 回 
顾 ; David Kahn 的 历史 性 密码 学 论著 [794、795、796」 也 是 非常 优秀 的 。 


1.4 简单 异 或 
异 或 (XOR) 在 C 语 言 中 是 “~” 运 算 , 或 者 用 数学 符号 旬 表 示 。 它 是 对 位 的 标准 
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运算 : 
0®0=0 
0@®1=1 
1@0=1 
1@®1=0 
也 要 注意 : 
a@Ba=0 
a®b@b=a 


简单 异 或 算法 实际 上 并 不 复杂 ， 因 为 它 并 不 比 维 吉 尼 亚 密 码 复 杂 。 本 书 讨论 它 ， 因 为 它 
在 商业 软件 包 中 很 流行 ， 至 少 在 MS-DOS 和 Macintosh 世界 中 是 这 样 W ”3 。 不 幸 的 是 ， 
如 果 一 个 软件 保密 程序 宣称 它 有 一 个 “ 专 有 ”加 密 算法 〈 该 算法 比 DES 更 快 )， 其 优势 在 于 
是 下 述 算 法 的 一 个 变种 。 

/* Usage: crypto key input_file output file */ 

void main (int argc, char *argv[]) 


{ 


FILE *fi, *f0; 


char *cp; 
int €; 
if ((cp = argv[1]) && *cp!='\o') { 
if ((fi = fopen(argv[2], "rb")) != NULL) { 
if ((fo = fopen(argv[3], "wb")) != NULL) { 


while ((c = getc(fi)) != EOF) { 
if (!*cp) cp = argv([1]; 
c ^= *(cp+4+); 
pute (c, fo); 


fclose (fo); 


fclose (fi); 
} 
} 
} 


这 是 一 个 对 称 算法 。 明 文 用 一 个 关键 字 进 行 异 或 运算 以 产生 密 文 。 因 为 用 相同 值 异 或 两 次 就 
恢复 原来 的 值 ， 所 以 加 密 和 解密 都 严格 采用 同一 个 程序 。 
P®K =C 
CO@K=P 
这 种 方法 没有 实际 的 保密 性 ， 它 易于 破译 ， 甚 至 没有 计算 机 也 能 破译 5。 如 果 用 计 
算 机 ， 则 只 需 花 费 几 秒 的 时 间 就 可 破译 。 
假设 明文 是 英文 ， 并 且 假 设 密 钥 长 度 是 一 个 任意 小 的 字 节 数 。 下 面 是 它 的 破译 方法 : 
d) 用 重合 码 计数 法 (counting coincidence) eH HARKE. FA EC RAX LS 
身 的 各 种 字 节 的 位 移 ， 统 计 那 些 相等 的 字 节 数 。 如 果 位 移 是 密 钥 长 度 的 倍数 ,那么 超过 6% 
的 字 节 将 是 相等 的 ， 如 果 不 是 ， 则 至 多 只 有 0.4% 的 字 节 是 相等 的 (这 里 假设 用 随机 密 钥 来 
加 密 标准 ASCI 文本 ， 其 他 类 型 的 明文 将 有 不 同 的 数值 )， 这 叫做 重合 指数 Cindex of coin- 
cidence) 。 指 出 的 密 钥 长 度 倍 数 的 最 小 位 移 就 是 密 钥 的 长 度 。 
(2) 按 此 长 度 移动 密 文 ， 并 且 与 自身 进行 异 或 。 这 样 就 消除 了 密 钥 ， 留 下 明文 和 移动 了 
密 钥 长 度 的 明文 的 异 或 。 由 于 英语 每 字 节 有 1. 3 位 的 实际 信息 (参见 11. 1 节 )， 所 以 有 足够 
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的 元 余 度 确定 唯一 的 解密 。 

尽管 如 此 ， 一 些 软件 销售 商 在 兜售 这 种 游戏 式 算 法 时 ， 还 声称 “几乎 和 DES 一 样 保 
密 ”， 这 使 人 感到 震惊  。NSA 最 终 允 许 美国 的 数字 蜂窝 电话 产业 界 使 用 这 个 算法 〈 有 
160 位 的 重复 “ 密 钥 ”) 对 语音 保密 。 蜡 或 或 许 能 防止 你 的 小 妹妹 偷 看 你 的 文件 ， 但 却 不 能 
防止 密码 分 析 家 在 几 分 钟 内 破译 它 。 


1.5 一 次 一 密 乱码 本 

不 管 你 是 否 相 信 它 ， 有 一 种 理想 的 加 密 方案 ， 叫 做 一 次 一 密 乱 码 本 Cone-time pad), H 
Major Joseph Mauborgne 和 AT&T 公司 的 Gilbert Vernam 在 1917 年 发 明光 (实际 上 ,一 
次 一 密 乱 码 本 是 门限 方案 的 特殊 情况 ,参见 3.7 节 )。 一 般 来 说 ， 一 次 一 密 乱 码 本 不 外 乎 是 
一 个 大 的 不 重复 的 真 随机 密 钥 字母 集 ， 这 个 密 钥 字母 集 被 写 在 数 张 纸 上 ， 并 被 粘 成 一 个 乱码 
本 。 它 最 初 的 形式 是 用 于 电 传 打字 机 。 发 送 者 用 乱码 本 中 的 每 一 个 密 钥 字 母 准 确 地 加 密 一 个 
明文 字符 。 加 密 是 明文 字符 和 一 次 一 密 乱 码 本 密 钥 字 符 的 模 26 加 法 。 

每 个 密 钥 仅 对 一 个 消息 使 用 一 次 。 发 送 者 对 所 发 送 的 消息 加 密 ， 然 后 销毁 乱码 本 中 用 过 
的 一 页 或 磁带 部 分 。 接 收 者 有 一 个 相同 的 乱码 本 ， 并 依次 使 用 乱码 本 上 的 每 个 密 钥 去 解密 密 
文 的 每 个 字符 。 接 收 者 在 解密 消息 后 销毁 乱码 本 中 用 过 的 一 页 或 磁带 部 分 。 新 的 消息 则 用 乱 
人 码 本 中 新 的 密 钥 加 密 。 例 如 ， 如 果 消 息 是 : 

ONETIMEPAD 
而 取 自 乱码 本 的 密 钥 序列 是 : 

TBFRGFARFM 
那么 密 文 就 是 : 

IPKLPSFHGQ 
因为 

O+T mod26=1I 

N 十 B mod26 =P 

E+F mod26=K 


如 果 窃听 者 不 能 得 到 用 来 加 密 消息 的 一 次 一 密 乱 码 本 ， 这 个 方案 就 是 完全 保密 的 。 给 出 
的 密 文 消息 相当 于 同样 长 度 的 任何 可 能 的 明文 消息 。 

由 于 每 一 个 密 钥 序列 都 是 等 概率 的 〔 记 住 ， 密 钥 是 以 随机 方式 产生 的 )， 所 以 敌 方 没有 
任何 信息 用 来 对 密 文 进行 密码 分 析 ， 密 钥 序 列 也 可 能 是 ， 

POYYAEAAZX 
解密 出 来 是 


SALMONEGGS 


或 密 钥 序 列 为 : 
BXFGBMTMXM 
解密 出 来 的 明文 为 : 
GREENFLUID 


值得 重申 的 是 : 由 于 明文 消息 是 等 概率 的 ， 所 以 密码 分 析 者 没有 办 法 确定 哪个 明文 消息 
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是 正确 的 。 随 机 密 钥 序列 异 或 非 随 机 明文 消息 产生 完全 随机 的 密 文 消息 ， 再 大 的 计算 能 力也 
无 能 为 力 。 

值得 注意 的 是 ， 密 钥 字 母 必须 是 随机 产生 的 。 对 这 种 方案 的 攻击 实际 上 依赖 于 产生 密 钥 
序列 的 方法 。 不 要 使 用 伪 随 机 数 发 生 器 ， 因 为 它们 通常 具有 非 随 机 性 。 如 果 采 用 真 随机 源 
(这 比 第 一 次 出 现 难得 多 ， 参 见 17. 14 节 ) ， 它 就 是 安全 的 。 

另 一 个 重要 的 事情 是 密 钥 序列 不 能 重复 使 用 ， 即 使 你 用 多 兆 字 节 的 乱码 本 ， 如 果 密 码 分 
析 家 有 多 个 密 钥 重 肆 的 密 文 ， 他 也 能 重 构 明 文 。 他 把 每 排 密 文 移 来 移 去 ， 并 计算 每 个 位 置 匹 
配 的 数量 。 如 果 它 们 排列 正确 ， 则 匹配 的 比例 会 突然 升 高 〈 准 确 的 百分比 与 明文 的 语种 有 
关 )。 从 这 一 点 来 说 ， 密 码 分 析 很 容易 ， 它 类 似 于 重合 指数 法 ， 只 不 过 用 两 个 “周期 ”进行 
比较  。 所 以 ， 千 万 别 重 复 使 用 密 钥 序列 。 

一 次 一 密 乱 码 本 的 想法 很 容易 推广 到 二 进 制 数据 的 加 密 ， 只 需要 用 由 二 进 制 数字 组 成 的 
一 次 一 密 乱 码 本 代替 由 字母 组 成 的 一 次 一 密 乱 码 本 ， 用 蜡 或 代替 一 次 一 密 乱 码 本 的 明文 字符 
加 法 即 可 。 为 了 解密 ， 用 同样 的 一 次 一 密 乱 码 本 对 密 文 异 或 ， 其 他 保持 不 变 ， 保 密 性 也 
很 好 。 

这 听 起 来 很 好 ， 但 有 几 个 问题 。 因 为 密 钥 位 必须 是 随机 的 ， 并 且 绝 不 能 重复 使 用 ， 所 以 
密 钥 序列 的 长 度 要 等 于 消息 的 长 度 。 一 次 一 密 乱 码 本 可 能 对 短信 息 是 可 行 的 ， 但 它 绝 不 可 能 
在 1.44M 位 的 通信 信道 上 工作 。 你 能 在 一 张 CD-ROM 中 存储 650M 字 节 的 随机 二 进 制 数 ， 
但 有 一 些 问题 。 首 先 ， 你 需要 准确 地 复制 两 份 随机 数位 ， 但 CD-ROM 只 是 对 大 量 数据 来 说 
是 经 济 的 ; 其 次 ， 你 需要 能 够 销毁 已 经 使 用 过 的 位 ， 而 CD-ROM 没有 抹 除 设备 ， 除 非 物理 
毁坏 整 张 盘 。 数 字 磁 带 对 这 种 东西 来 说 ， 是 更 好 的 媒体 。 

即使 解决 了 密 钥 的 分 配 和 存储 问题 ， 还 需要 确信 发 送 者 和 接收 者 是 完全 同步 的 。 如 果 接 
收 者 有 1 位 的 偏 移 〈 或 者 一 些 位 在 传送 过 程 中 丢失 了 )， 消 息 就 变 成 乱七八糟 的 东西 。 另 一 
方面 ， 如 果 某 些 位 在 传送 中 被 改变 了 (没有 增 减 任何 位 ， 更 像 是 由 于 随机 噪声 引起 的 )， 那 
些 改变 了 的 位 就 不 能 正确 地 解密 。 再 者 ， 一 次 一 密 乱 码 本 不 提供 鉴别 。 

一 次 一 密 乱 码 本 在 今天 仍 有 应 用 场合 ， 主 要 用 于 高 度 机 密 的 低 带宽 信道 。 美 国 和 苏联 之 
间 的 热线 电话 (现在 还 在 起 作用 吗 ?) 据 传 就 是 用 一 次 一 密 乱 码 本 加 密 的 。 许 多 苏联 间谍 传 
递 的 消息 也 是 用 一 次 一 密 乱 码 本 加 密 的 。 直 到 今天 ， 这 些 消息 仍 是 保密 的 ， 并 将 一 直 保 密 下 
去 。 不 管 超 级 计算 机 工作 多 久 ， 也 不 管 半 个 世纪 中 有 多 少 人 ， 用 什么 样 的 方法 和 技术 ， 具 有 
多 大 的 计算 能 力 ， 他 们 都 不 可 能 阅读 苏联 间谍 用 一 次 一 密 乱 码 本 加 密 的 消息 〈 除 非 他 们 恰好 
回 到 那个 年 代 ， 并 得 到 加 密 消 息 的 一 次 一 密 乱 码 本 ) 。 


1.6 计算 机 算法 

计算 机 密码 算法 有 多 种 ， 最 通用 的 有 以 下 三 种 : 

(1) 数据 加 密 标准 (Data Encryption Standard, DES) 是 最 通用 的 计算 机 加 密 算 法 。 
DES 是 美国 和 国际 标准 ， 它 是 对 称 算 法 ， 加 密 和 解密 的 密 钥 是 相同 的 。 

(2) RSA (根据 它 的 发 明 者 命名 ， 即 Rivest, Shamir 和 Adleman) 是 最 流行 的 公开 密 
钥 算 法 ， 它 能 用 作 加 密 和 数字 签名 。 

(3) 数字 签名 算法 (Digital Signature Algorithm，DSA， 用 做 数字 签名 标准 的 一 部 分 ) 
是 另 一 种 公开 密 钥 算法 ， 它 不 能 用 做 加 密 ， 只 用 做 数字 签名 。 

这 些 就 是 本 书 所 要 涉及 的 内 容 。 
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1.7 KR 


本 书 使 用 了 各 种 大 数 去 描述 密码 算法 中 的 不 同 内 容 。 因 为 很 容易 忽略 这 些 数 和 它们 的 实 
际 意 义 ， 所 以 表 1-1 给 出 了 一 些 大 数 的 物理 模拟 量 。 

表 中 这 些 数 是 估计 的 数量 级 ， 并 且 是 从 各 种 资料 中 精 选 得 到 的 ， 天 体 物 理学 中 许多 大 数 
见 Freeman Dyson 的 文章 Time Without End: Physics and Biology in an Open Universe， 
Reviews of Modern Physics, v.52, n.3, 1979.7, 447 ~ 460。 汽 车 事故 的 死亡 人 数 是 根据 
1993 年 交通 部 统计 数据 每 百 万 人 中 有 163 起 死亡 事故 和 人 均 寿 命 为 69. 7 年 计算 出 来 的 。 











表 1-1 大 数 

物理 模拟 量 ; K 数 
每 天 被 闪电 杀 死 的 可 能 性 90 亿 (233) 分 之 一 
赢得 国家 发 行 彩票 头等 奖 的 可 能 性 400 万 (22) 分 之 一 
赢得 国家 发 行 彩 票 头等 奖 并 且 在 同一 天 被 闪电 杀 死 的 可 能 性 2554p — 
FE FE BY BT fE PE 59000 (216) 分 之 一 
1993 年 在 美国 交通 事故 中 死亡 的 可 能 性 6100 (2) 分 之 一 
在 美国 死 于 交通 事故 的 可 能 性 88 (27) 分 之 一 
到 下 一 个 冰川 年 代 的 时 间 14 000 (21) 年 
到 太阳 变 成 新 星 的 时 间 10° (230) 46 
行星 的 年 龄 10° (2%) 
宇宙 的 年 齿 1010 (2%) 年 ， 
行星 中 的 原子 数 105! (2170) 
太阳 中 的 原子 数 Los? (21%) 
银河 系 中 的 原子 数 108? (2223) 
宇宙 中 的 原子 数 〈 黑 粒子 除外 ) 1077 (2265) 
宇宙 的 体积 108 (228°) cm 
如 果 宇 宙 是 封闭 的 : 
宇宙 的 生命 期 101 (23) 年 

1018 (25!) 秒 

如 果 宇 宙 是 开放 的 : 
到 小 弥 撤 星 冷却 下 来 的 时 间 10! (247) 年 
到 行星 脱离 星系 的 时 间 1015 (250) 年 
到 行星 脱离 银河 系 的 时 间 1019 (28) 年 
到 由 引力 线 引 起 的 轨道 晓 变 的 时 间 102 (2%) 4 
到 由 散播 过 程 引起 黑洞 淹没 的 时 间 1084 (2213) 年 
到 所 有 物质 在 0 时 都 为 液体 的 时 间 TOs (2718) 年 
E J A BS A BSE AE R BR MY ET] . 101026 年 


到 所 有 物质 都 收缩 为 黑洞 的 时 间 101079 年 
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2.1 协议 概述 

密码 学 的 用 途 是 解决 种 种 难题 (实际 上 ， 很 多 人 忘记 了 这 也 是 计算 机 的 主要 用 途 )。 密 
码 学 解决 的 各 种 难题 围绕 机 密 性 、 鉴 别 、 完 整 性 和 不 诚实 的 人 。 你 可 能 了 解 各 种 算法 和 技 
术 ， 但 除非 它们 能 够 解决 某 些 问题 ， 和 否则 这 些 东 西 只 是 理论 而 已 ， 这 就 是 为 什么 要 先 了 解 协 
议 的 原因 。 

协议 (protocol) 是 一 系列 步骤 ， 它 包括 两 方 或 多 方 ， 设 计 它 的 目的 是 要 完成 一 项 任务 。 
这 个 定义 很 重要 :“ 一 系列 步 又 ”意味 着 协议 是 从 开始 到 结束 的 一 个 序列 ， 每 一 步 必须 依次 
执行 ， 在 前 一 步 完成 之 前 ， 后 面 的 步骤 都 不 能 执行 ; “包括 两 方 或 多 方 ” 意 味 着 完成 这 个 协 
议 至 少 需要 两 个 人 ， 单 独 的 一 个 人 不 能 构成 协议 ， 当 然 单独 的 一 个 人 也 可 采取 一 系列 步骤 去 
完成 一 个 任务 〈 例 如 烤 蛋 糕 )， 但 这 不 是 协议 (必须 有 另外 一 些 人 吃 蛋 糕 才 构 成 协议 ); 最 
后 ,“ 设 计 它 的 目的 是 要 完成 一 项 任务 ”意味 着 协议 必须 做 一 些 事 。 有 些 东 西 看 起 来 像 协议 ， 
但 它 不 能 完成 一 项 任务 ， 那 也 不 是 协议 ， 只 是 浪费 时 间 而 已 。 

协议 还 有 其 他 特点 : 

(1) 协议 中 的 每 个 人 都 必须 了 解 协议 ， 并 且 预 先知 道 所 要 完成 的 所 有 步骤 。 

(2) 协议 中 的 每 个 人 都 必须 同意 并 遵循 它 。 

(3) 协议 必须 是 清楚 的 ， 每 一 步 必须 明确 定义 ， 并 且 不 会 引起 误解 。 

(4) 协议 必须 是 完整 的 ， 对 每 种 可 能 的 情况 必须 规定 具体 的 动作 。 

本 书 中 的 协议 就 安排 成 一 系列 步 又 ， 并 且 协 议 是 按照 规定 的 步骤 线性 执行 的 ， 除 非 指 定 
它 转 到 其 他 步骤 。 每 一 步 至 少 要 做 下 列 两 件 事 中 的 一 件 ， 即 由 一 方 或 多 方 计算 ， 或 者 在 各 方 
中 传送 信息 。 

密码 协议 (cryptographic protocol) 是 使 用 密码 学 的 协议 。 参 与 该 协议 的 各 方 可 能 是 朋 
友和 完全 信任 的 人 ,或 者 也 可 能 是 敌人 和 互相 完全 不 信任 的 人 。 密 码 协 议 包 含 某 种 密码 算 
法 ,但 通常 协议 的 目的 不 仅仅 是 为 了 简单 的 秘密 性 。 参 与 协议 的 各 方 可 能 为 了 计算 一 个 数值 
想 共享 它们 的 秘密 部 分 ， 共 同 产生 随机 系列 ， 确 定 相 互 的 身份 或 者 同时 签署 合同 。 在 协议 中 
使 用 密码 的 目的 是 防止 或 发 现 窃听 者 和 欺骗 。 如 果 你 以 前 没有 见 过 这 些 协 议 ， 它 们 会 从 根本 
上 改变 你 的 思想 ， 相 互 不 信任 的 各 方 也 能 够 在 网 络 上 完成 这 些 协 议 。 一 般 地 ， 这 能 够 陈 
iH: 

不 可 能 完成 或 知道 得 比 协议 中 规定 的 更 多 。 

这 看 起 来 很 难 。 接 下 来 的 几 章 讨论 了 许多 协议 。 在 其 中 的 一 些 协 议 中 ， 参 与 者 中 的 一 个 
有 可 能 欺骗 其 他 人 。 窃 听 者 也 可 能 暗中 破坏 协议 或 获悉 秘密 信息 。 一 些 协议 之 所 以 失败 ， 是 
因为 设计 者 对 沿 求 定义 得 不 是 很 完备 ， 还 有 一 些 原因 是 由 于 协议 的 设计 者 分 析 得 不 够 充分 。 
就 像 算 法 一 样 ， 证 明 它 不 安全 比 证 明 它 安全 容易 得 多 。 


2.1.1 协议 的 目的 
在 日 常生 活 中 ， 几 乎 所 有 的 事情 都 有 非 正式 的 协议 : 电话 订货 、 玩 扑 殉 、 选 举 中 投票 ， 
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没有 人 认真 考虑 过 这 些 协议 ， 这 些 协 议 随 着 时 间 的 推移 而 发 展 ， 人 们 都 知道 怎样 使 用 它们 ， 
而 且 它 们 也 很 有 效 。 

越 来 越 多 的 人 通过 计算 机 网 络 交流 ， 从 而 代替 了 面对面 的 交流 。 计 算 机 需要 正式 的 协议 
来 完成 人 们 不 用 考虑 就 能 做 的 事情 。 如 果 你 从 一 个 州 迁移 到 另 一 个 州 ， 你 可 能 会 发 现 投票 字 
与 你 以 前 使 用 的 完全 不 同 ， 你 很 容易 适应 它 。 但 计算 机 就 不 那么 灵活 了 。 

许多 面对面 的 协议 依靠 人 的 现场 存在 来 保证 公平 和 安全 。 你 会 交 给 陌生 人 一 和 至 现金 去 为 
你 买 食品 吗 ?” 如 果 没 有 看 到 洗 牌 和 发 牌 ， 你 愿意 和 陌生 人 玩 扑 克 吗 ? 如 果 没 有 匿名 的 保证 ， 
你 会 将 秘密 投票 寄 给 政府 吗 ? 

那 种 假设 使 用 计算 机 网 络 的 人 都 是 诚实 的 想法 ， 真 是 太 天 真 了 。 天 真 的 想法 还 有 : 假设 
计算 机 网 络 的 管理 员 是 诚实 的 ， 假 设计 算 机 网 络 的 设计 者 是 诚实 的 。 当 然 ， 绝 大 多 数 人 是 诚 
实 的 ,但 是 不 诚实 的 少数 人 可 能 招致 很 多 损害 。 通 过 规定 协议 ， 可 以 查 出 不 诚实 者 企图 欺骗 
的 把 戏 ， 还 可 开发 挫败 这 些 欺 骗 者 的 协议 。 

除了 规定 协议 的 行为 之 外 ， 协 议 还 根据 完成 某 项 任务 的 机 理 ， 抽 象 出 完成 此 任务 的 过 
程 。 不 管 是 PC PLB VAX 机， 通信 协议 是 相同 的 。 我 们 能 够 考查 协议 ， 而 不 用 轿 于 具体 
的 实现 上 。 当 我 们 坚信 有 一 个 好 的 协议 时 ， 在 从 计算 机 到 电话 再 到 智能 烘箱 的 所 有 事情 中 ， 
我 们 都 能 够 实现 它 。 


2.1.2 协议 中 的 角色 


为 了 帮助 说 明 协 议 ， 我 列 出 了 几 个 人 作为 助手 〈 见 表 2-1)。Alice 和 Bob 是 开始 的 两 个 人 。 
他 们 将 完成 所 有 的 两 人 协议 。 按 规定 ， 由 Alice 发 起 所 有 协议 ，Bob 响应 。 如 果 协 议 需 要 第 三 
或 第 四 人 ，Carol 和 Dave 将 扮演 这 些 角 色 。 由 其 他 人 扮演 的 专门 配角 ， 将 在 后 面 介绍 。 


表 2-1 剧 中 人 














角 色 人 名 角 色 








Alice 所 有 协议 中 的 第 一 个 参加 者 Mallory 恶意 的 主动 攻击 者 

Bob 所 有 协议 中 的 第 二 个 参加 者 Trent 值得 信赖 的 仲裁 者 

Carol 三 、 四 方 协议 中 的 参加 者 Walter 仲裁 者 : 在 某 些 协议 中 保护 Alice 和 Bob 
Dave 四 方 协议 中 的 参加 者 Peggy 证 明 人 





窃听 者 Victor 验证 者 





2.1.3 仲裁 协议 

仲裁 者 (arbitrator) 是 在 完成 协议 的 过 程 中 ， 值 得 信任 的 公正 的 第 三 方 〈 见 图 2-1a)， 
“公正 ”意味 着 仲裁 者 在 协议 中 没有 既得 利益 ， 对 参与 协议 的 任何 人 也 没有 特别 的 利害 关系 。 
“值得 信任 ”表示 协议 中 的 所 有 人 都 接受 这 一 事实 ， 即 仲裁 者 说 的 都 是 真实 的 ， 他 做 的 都 是 
正确 的 ， 并 且 他 将 完成 协议 中 涉及 他 的 部 分 。 仲 裁 者 能 帮助 互 不 信任 的 双方 完成 协议 。 

在 现实 社会 中 ， 律 师 经 常 作为 仲裁 者 。 例 如 ，Alice 要 卖 汽车 给 不 认识 的 Bob。Bob 想 
用 支票 付 账 ， 但 Alice 不 知道 支票 的 真 假 。 在 Alice 将 车 子 转 给 Bob 前 ， 她 必须 查 清 支 票 的 
Ath. Ie, Bob 也 并 不 相信 Alice， 就 像 Alice 不 相信 Bob 一 样 ， 在 没有 获得 所 有 权 前 ， 
也 不 愿 将 支票 交 与 Alice。 

这 时 就 需要 双方 都 信任 的 律师 。 在 律师 的 帮助 下 ，Alice 和 Bob 能 够 用 下 面 的 协议 保证 
互 不 欺骗 。 
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Alice 





c) 自动 执行 协议 
图 2-1 协议 类 型 


(1) Alice 将 车 的 所 有 权 交 给 律师 。 

(2) Bob 将 支票 交 给 Alice, 

(3) Alice 在 银行 兑现 支票 。 

(4) 在 等 到 支票 鉴别 无 误 能 够 兑现 的 时 间 之 后 ， 律 师 将 车 的 所 有 权 交 给 Bob。 如 果 在 规定 
的 时 间 内 支票 不 能 兑现 ，Alice 将 证 据 出 示 给 律师 ， 律 师 将 车 的 所 有 权 和 钥匙 交还 给 Alice, 

在 这 个 协议 中 ，Alice 相信 律师 不 会 将 车 的 所 有 权 交 给 Bob， 除 非 支 票 已 经 竞 现 ; WR 
支票 不 能 兑现 ， 律 师 会 把 车 的 所 有 权 交 还 给 Alice, m Bob 相信 律师 有 车 的 所 有 权 ， 在 支票 
兑现 后 ， 将 会 把 车 的 所 有 权 和 钥匙 交 给 他 。 而 律师 并 不 关心 支票 是 否 兑现 ， 不 管 在 什么 情况 
下 ， 他 只 做 那些 他 应 该 做 的 事 ， 因 为 不 管 在 哪 种 情况 下 ， 他 都 有 报酬 。 

在 这 例子 中 ， 律 师 起 着 担保 代理 作用 。 律 师 也 作为 遗嘱 和 合同 谈判 的 仲裁 人 ， 还 作为 各 
种 股票 交易 中 买方 和 卖方 之 间 的 仲裁 人 。 

银行 也 使 用 仲裁 协议 。Bob 能 够 用 保 付 支 票 从 Alice 手中 购买 汽车 : 

(1) Bob 开 一 张 支票 并 交 到 银行 。 

(2) 在 验 明 Bob 的 钱 足 以 支付 支票 上 的 数目 后 ， 银 行将 保 付 支票 交 与 Bob. 

(3) Alice 将 车 的 所 有 权 交 给 Bob, Bob 将 保 付 支 票 交 给 Alice, 

(4) Alice 兑现 支票 。 

这 个 协议 也 是 有 效 的 ， 因 为 Alice 相信 和 银行 的 证 明 。Alice 相信 银行 保存 有 能 付 给 她 的 
Bob 的 钱 ， 不 会 将 钱 用 于 蚊虫 滋生 的 国家 财政 不 稳 的 房地产 业务 。 

公证 人 是 另 一 种 仲裁 者 ， 当 Bob 从 Alice 接收 到 已 公证 的 文件 时 ， 他 相信 Alice 签署 的 
文件 是 她 自己 亲自 签署 的 。 如 果 有 必要 ， 公 证 人 可 出 庭 证 实 这 个 事实 。 

仲裁 者 的 概念 与 人 类 社会 一 样 悠 久 。 总 是 有 那么 一 些 人 一 一 统治 者 、 牧 师 等 ， 他 们 有 公 
平 处 理事 情 的 权威 。 在 我 们 的 社会 中 ， 仲 裁 者 总 是 有 一 定 社会 地 位 和 声望 的 人 。 而 背叛 公众 
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的 信任 是 很 危险 的 事情 。 例 如 ， 视 担保 为 儿戏 的 律师 几乎 肯定 会 被 开除 出 律师 界 。 现 实 世 界 
里 并 不 总 是 如 此 美好 的 ， 但 它 确 是 理想 的 。 

这 种 思想 可 以 转化 到 计算 机 世界 中 ， 但 计算 机 仲裁 者 有 下 面 几 个 问题 : 

(1) 如 果 你 知道 对 方 是 谁 ， 并 能 见 到 他 的 面 ， 那 么 很 容易 找到 和 相信 中 立 的 第 三 方 。 而 
互相 怀疑 的 双方 很 可 能 也 怀疑 在 网 络 别 的 什么 地 方 并 不 露面 的 仲裁 者 。 

(2) 计算 机 网 络 必须 负担 仲裁 者 的 费用 。 就 像 我 们 知道 的 律师 费用 ， 谁 想 负担 那 种 网 络 
费用 呢 ? 

(3) 在 任何 仲裁 协议 中 都 有 延迟 的 特性 。 

(4) 仲裁 者 必须 处 理 每 一 笔 交 易 。 任 何 一 个 协议 在 大 范围 执行 时 ， 仲 裁 者 是 潜在 的 瓶 
颈 。 增 加 仲裁 者 的 数目 能 缓解 这 个 问题 ， 但 费用 将 会 增加 。 

(5) 由 于 在 网 络 中 每 人 都 必须 相信 仲裁 者 ， 对 试图 破坏 网 络 的 人 来 说 ， 仲 裁 者 便 是 一 个 
易 受 攻击 的 弱点 。 

尽管 如 此 ， 仲 裁 者 仍 扮演 一 个 角色 。 在 使 用 可 信任 的 仲裁 协议 中 ， 这 个 角色 将 由 Trent 
来 扮演 。 


2.1.4 ”裁决 协议 


由 于 雇用 仲裁 者 代价 高 昂 ， 仲 裁 协 议 可 以 分 成 两 个 低级 的 子 协 议 (subprotocol): 一 个 
是 非 仲 裁 子 协 议 ， 执行 协议 的 各 方 每 次 想 要 完成 的 ; 男 一 个 是 仲裁 子 协议 ， 仅 在 例外 的 情况 
下 ， 即 有 争议 的 时 候 才 执行 。 这 种 特殊 的 仲裁 者 叫做 裁决 者 (参见 图 2-1b) 。 

裁决 者 也 是 公正 和 可 信 的 第 三 方 。 他 不 像 仲裁 者 ， 并 不 直接 参与 每 一 个 协议 。 只 有 需要 
确定 协议 是 否 公平 地 执行 时 ， 才 将 他 请 来 。 

法 官 是 职业 的 裁决 者 。 法 官 不 像 仲 裁 者 ， 仅 仅 在 有 争议 时 才 需 要 他 出 场 ，Alice 和 Bob 
可 以 在 没有 法 官 的 情况 下 订立 合同 。 除 非 他 们 中 有 一 个 人 把 另 一 人 拖 到 法 院 ， 和 否则 法 官 决 不 
会 看 到 合同 。 

合同 -签字 协议 可 以 归纳 为 下 面 的 形式 。 

非 仲 裁 子 协议 (每 次 都 执行 ): 

(1) Alice 和 Bob 谈判 合同 的 条 款 。 

(2) Alice 签署 合同 。 

(3) Bob 签署 合同 。 

裁决 子 协议 〈 仅 在 有 争议 时 执行 ) 

(1) Alice 和 Bob 出 现在 法 官 面前 。 

(2) Alice 提出 她 的 证 据 。 

(3) Bob 也 提出 他 的 证 据 。 

(4) 法 官 根据 证 据 裁决 。 

裁决 者 和 仲裁 者 之 间 的 不 同 是 裁决 者 并 不 总 是 必需 的 。 如 果 有 争议 ， 法 官 被 请 来 裁决 。 
如 果 没 有 争议 ， 就 没有 必要 请 法 官 。 

已 经 有 了 计算 机 裁决 协议 。 这 些 协议 依赖 于 与 协议 有 关 的 各 方 都 是 诚实 的 。 如 果 有 人 怀 
疑 被 欺骗 时 ， 一 个 中 立 的 第 三 方 能 够 根据 存在 的 数据 正文 文本 判断 是 否 有 人 在 欺骗 。 在 好 的 
裁决 协议 中 ， 裁 决 者 还 能 确定 欺骗 人 的 身份 。 裁 决 协议 是 为 了 发 现 欺骗 ， 而 不 是 为 了 阻止 欺 
骗 。 发 现 欺 骗 起 了 防止 和 阻碍 欺骗 的 作用 。 
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2. 1.5 自动 执行 协议 

自动 执行 协议 (self-enforcing protocol) 是 协议 中 最 好 的 。 协 议 本 身 就 保证 了 公平 性 
( 见 图 2-1c) ， 不 需要 仲裁 者 来 完成 协议 ， 也 不 需要 裁决 者 来 解决 争端 。 协 议 的 构成 本 身 使 得 
不 可 能 发 生 争 端 。 如 果 协 议 中 的 一 方 试图 欺骗 ， 其 他 各 方 马上 就 能 发 觉 并 且 停 止 执 行 协议 。 
无 论 欺 骗 方 想 通 过 欺骗 来 得 到 什么 ， 他 都 不 能 如 愿 以 偿 。 

每 个 协议 最 好 都 是 自动 执行 协议 。 不 幸 的 是 ， 对 于 所 有 情形 ， 都 没有 一 个 自动 执行 
协议 。 


2.1.6 对 协议 的 攻击 


密码 攻击 可 以 直接 攻击 协议 中 所 用 的 密码 算法 或 用 来 实现 该 算法 和 协议 的 密码 技术 或 攻 
击 协议 本 身 。 本 节 仅 讨论 最 后 一 种 情况 。 假 设 密码 算法 和 密码 技术 都 是 安全 的 ， 只 关注 对 协 
议 本 身 的 攻击 。 

可 以 采用 各 种 方法 对 协议 进行 攻击 。 与 协议 无 关 的 人 能 够 窃听 协议 的 一 部 分 或 全 部 ， 这 
叫做 被 动 攻 击 (passive attack)， 因 为 攻击 者 不 可 能 影响 协议 。 所 有 他 能 做 的 事 是 观察 协议 
并 试图 获取 消息 。 这 种 攻击 相当 于 在 1. 1 节 中 讨论 的 唯 密 文 攻击 。 由 于 被 动 攻击 难于 发 现 ， 
所 以 协议 应 阻止 被 动 攻 击 而 不 是 发 现 这 种 攻击 。 在 这 种 协议 中 ， 窃 听 者 的 角色 将 由 Eve 
扮演 。 

另 一 种 攻击 可 能 改变 协议 以 便 对 自己 有 利 。 他 可 能 假装 是 其 他 一 些 人 ， 在 协议 中 引入 新 
的 消息 ， 删 掉 原 有 的 消息 ， 用 另外 的 消息 代替 原来 的 消息 ， 重 放 旧 的 消息 ， 破 坏 通信 信道 ， 
或 者 改变 存储 在 计算 机 中 的 消息 等 。 这 些 叫做 主动 攻击 (active attack)， 因 为 它们 具有 主动 
的 干预 。 这 种 形式 的 攻击 依赖 于 网 络 。 

被 动 攻 击 试图 获取 协议 中 各 方 的 消息 。 它 们 收集 协议 各 方 所 传送 的 消息 ， 并 试图 对 它们 
进行 密码 分 析 。 而 主动 攻击 可 能 有 更 多 的 目的 。 攻 击 者 可 能 对 获取 消息 感 兴趣 ， 也 可 能 降低 
系统 性 能 ， 破 坏 已 有 的 消息 ， 或 者 获得 非 授 权 的 资源 存 取 。 

主动 攻击 严重 得 多 ， 特 别 是 在 那些 各 方 都 不 必 彼 此 信任 的 协议 中 。 攻 击 者 不 一 定 都 是 人 
侵 者 ， 他 可 能 是 合法 的 系统 用 户 ， 也 可 能 是 系统 管理 员 。 甚 至 有 很 多 主动 攻击 者 在 一 起 工 
作 ， 每 人 都 是 合法 的 系统 用 户 。 这 个 恶意 的 主动 攻击 者 的 角色 将 由 Mallory 扮演 。 

攻击 者 也 可 能 是 与 协议 有 关 的 各 方 中 的 一 方 。 他 可 能 在 协议 期 间 撒 谎 ， 或 者 根本 不 遵 
守 协 议 ， 这 类 攻击 者 叫做 骗子 (cheater)。 被 动 骗子 (passive cheater) 遵守 协议 ， 但 试图 
获取 协议 外 的 其 他 消息 。 主 动 骗子 (active cheater) 在 协议 的 执行 中 试图 通过 欺骗 来 破坏 
协议 。 

如 果 与 协议 有 关 的 各 方 中 的 大 多 数 都 是 主动 骗子 ， 则 很 难保 证 协议 的 安全 性 。 但 合法 用 
户 发 觉 是 否 有 主动 欺骗 是 可 能 的 。 当 然 ， 协 议 对 被 动 欺 骗 来 说 应 该 是 安全 的 。 


2.2 使 用 对 称 密 码 系 统 通信 

通信 双方 怎样 安全 地 通信 呢 ? 当然 ， 他 们 可 以 对 通信 加 密 。 完 整 的 协议 比 它 更 复杂 ， 让 
我 们 来 看 看 当 Alice 发 送 加 密 的 消息 给 Bob 时 会 发 生 什 么 情况 。 

(1) Alice 和 Bob 协商 用 同一 个 密码 系统 。 

(2) Alice 和 Bob 协商 同一 个 密 钥 。 

(3) Alice 用 加 密 算法 和 选取 的 密 钥 加 密 她 的 明文 消息 ， 得 到 了 密 文 消息 。 
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(4) Alice 发 送 密 文 消息 给 Bob。 

(5) Bob 用 同样 的 算法 和 密 钥 解密 密 文 ， 然 后 读 它 。 

位 于 Alice 和 Bob 之 间 的 窃听 者 Eve 监听 这 个 协议 ， 她 能 做 什么 呢 ? 如 果 她 听 到 的 是 在 
第 〈4) 步 中 发 送 的 密 文 ， 她 必须 设法 分 析 密 文 ， 这 是 唯 密 文 的 被 动 攻击 法 。 有 很 多 算法 能 
够 阻止 Eve， 使 她 不 可 能 得 到 问题 的 解答 。 

尽管 如 此 ， 但 Eve 却 不 笨 ， 她 也 想 窃听 第 (1) 步 和 第 (2) 步 ， 这 样 她 就 知道 了 算法 
和 密 钥 ， 她 就 和 Bob 知道 的 一 样 多 。 当 第 (4) 步 中 的 消息 通过 信道 传送 过 来 时 ， 她 所 做 的 
全 部 工作 就 是 解密 密 文 消息 。 

好 的 密码 系统 的 全 部 安全 性 只 与 密 钥 有 关 ， 与 算法 没有 任何 关系 。 这 就 是 为 什么 密 钥 管 
理 在 密码 学 中 如 此 重要 的 原因 。 有 了 对 称 算法 ，Alice 和 Bob 能 够 公开 地 实现 第 (1) 步 ， 
但 必须 秘密 地 完成 第 (2) 步 。 在 协议 执行 前 、 执 行 过程 中 和 执行 后 ， 只 要 消息 必须 保持 秘 
密 ， 密 钥 就 必须 保持 秘密 ; 否则， 消息 就 将 不 再 秘密 了 。 (公开 密 钥 密码 学 用 另 一 种 方法 解 
决 了 这 个 问题 ， 将 在 2. 5 节 中 讨论 。) 

主动 攻击 者 Mallory 可 能 做 其 他 一 些 事情 ， 他 可 能 企图 破坏 在 第 〈4) 步 中 使 用 的 通信 
iH. fE Alice 和 Bob 根本 不 可 能 通信 。 他 也 可 能 截取 Alice 的 消息 并 用 他 自己 的 消息 替代 
它 。 如 果 他 也 知道 密 钥 〈 通 过 截取 第 〈2) 步 的 通信 或 者 破译 密码 系统 )， 他 可 能 加 密 自己 的 
消息 ， 然 后 发 送 给 Bob， 用 来 代替 截取 的 消息 。Bob 没有 办 法 知道 接收 到 的 消息 不 是 来 自 
Alice。 如 果 Mallory 不 知道 密 钥 ， 他 所 产生 的 代替 消息 ， 被 解密 出 来 是 无 意义 的 ，Bob 就 会 
认为 网 络 或 者 Alice 有 严重 的 问题 。 

Alice 又 怎么 样 呢 ? 她 能 做 什么 来 破坏 这 个 协议 吗 ? 她 可 以 把 密 钥 的 副本 发 给 Eve。 现 
在 Eve 可 以 读 Bob 所 发 送 的 消息 ， 他 还 不 知道 Eve 已 经 把 他 的 话 重印 在 《纽约 时 报 》 上 。 
虽然 问题 很 严重 ， 但 这 并 不 是 协议 的 问题 。 在 协议 过 程 的 任何 一 点 都 不 可 能 阻止 Alice 把 明 
文 的 副本 交 给 Eve, 49 Bob 也 可 能 做 Alice 所 做 的 事 。 协 议 假 定 Alice 和 Bob 互相 信任 。 

总 之 ， 对 称 密码 算法 存在 下 面 的 问题 : 

d) 密 钥 必 须 秘密 地 分 配 。 它 们 比 任何 加 密 的 消息 更 有 价值 ， 因 为 知道 了 密 钥 就 意味 着 
知道 了 所 有 消息 。 对 于 遍及 世界 的 加 密 系 统 ， 这 可 能 是 令 人 泪 丧 的 任务 ， 需 经 常 派 信使 将 密 
钥 传递 到 目的 地 。 

(2) 如 果 密 钥 被 泄露 了 〈 被 偷窃 、 猜 出 来 、 被 逼迫 交 出 来 、 受 贿 等 )， 那 么 Eve 就 能 用 
该 密 钥 去 解密 所 有 传送 的 消息 ， 也 能 够 假装 是 协议 中 的 一 方 ， 产生 虚 假 消 息 去 愚弄 另 一 方 。 

(3) 假设 网 络 中 每 对 用 户 使 用 不 同 的 密 钥 ， 那 么 密 钥 总 数 随 着 用 户 数 的 增加 迅速 增加 。 
n 个 用 户 的 网 络 需 要 n(n 一 1)/2 个 密 钥 。 例 如 ，10 个 用 户 互相 通信 需要 45 个 不 同 的 密 钥 ， 
100 个 用 户 需 要 4950 个 不 同 的 密 钥 。 这 个 问题 可 以 通过 将 用 户 数量 控制 在 较 小 数目 来 减轻 ， 
但 这 并 不 总 是 可 能 的 。 


2.3 单 向 函数 

单 向 函数 〈one-way function) 的 概念 是 公开 密 钥 密码 的 中 心 。 尽 管 它 本 身 并 不 是 一 个 
协议 ， 但 对 本 书 所 讨论 的 大 多 数 协 议 来 说 却 是 一 个 基本 结构 模块 。 

单 向 函数 计算 起 来 相对 容易 ， 但 求 逆 却 非常 困难 。 也 就 是 说 ,已 知 <x， 我 们 很 容易 计算 
f(z)。 但 已 知 f(x)， 却 难于 计算 出 z+。 这 里 ,“ 难 ”定义 成 : 即使 世界 上 所 有 的 计算 机 都 用 
来 计算 ， 从 f(z) 计算 出 zx 也 要 花费 数 百 万 年 的 时 间 。 

打 碎 盘子 就 是 一 个 很 好 的 单 向 函数 的 例子 。 把 盘子 打 碎 成 数 千 片 碎片 是 很 容易 的 事情 ， 
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然而 ， 要 把 所 有 这 些 碎 片 再 拼 成 为 一 个 完整 的 盘子 ， 却 是 非常 困难 的 事情 。 

这 听 起 来 很 好 ， 但 事实 上 却 不 能 证 实 它 的 真实 性 。 如 果 严 格 地 按 数 学 定义 ， 不 能 证 明 单 
癌 函 数 的 存在 性 ， 同 时 也 没有 实际 的 证 据 能 够 构造 出 单 向 函数 。 即 使 这 样 ， 还 是 有 很 多 函数 
看 起 来 像 单 向 函数 : 我 们 能 够 有 效 地 计算 它们 ， 且 至 今 还 不 知道 有 什么 办 法 能 容易 地 求 出 它 
们 的 逆 。 例 如 ， 在 有 限 域 中 x? 很 容易 计算 , 但 计算 x'“ 却 难得 多 。 在 本 节 中 ， 假 定单 向 函 
数 存 在 ，11. 2 节 将 更 详细 地 讨论 它 。 

那么 ， 单 向 函数 有 什么 好 处 呢 ? 单 向 函数 不 能 用 作 加 密 。 用 单 向 函数 加 密 的 消息 是 毫 无 
用 处 的 ， 无 人 能 破解 它 〈 练 习 : 在 盘子 上 写 上 消息 ， 然 后 砸 成 碎片 ， 把 这 些 碎片 给 你 的 朋 
友 ， 要 求 你 的 朋友 读 这 上 面 的 消息 ， 观 察 你 的 朋友 对 单 向 函数 会 有 多 么 深刻 的 印象 )。 对 公 
开 密 钥 密码 ， 我 们 还 需要 一 些 其 他 的 东西 〈 虽 然 有 单 向 函数 的 密码 学 应 用 ， 参 见 3. 2 节 ) 。 

陷 门 单 向 函数 (trapdoor one-way function) 是 有 一 个 秘密 陷 门 的 一 类 特殊 的 单 向 函数 。 
它 在 一 个 方向 上 易于 计算 而 反方 向 却 难 于 计算 。 但 是 ， 如 果 你 知道 那个 秘密 ， 你 也 能 很 容易 
在 男 一 个 方向 上 计算 出 这 个 函数 。 也 就 是 说 , 已 知 zx， 易于 计算 flo); MEM f(x), HE 
于 计算 zx。 然而 ， 有 一 些 秘密 消息 vy, 一旦 给 出 f(x) 和 y， 就 很 容易 计算 z。 

拆 开 表 是 一 个 很 好 的 陷 门 单 向 函数 的 例子 。 把 表 拆 成 数 百 片 小 片 很 容易 ， 而 把 这 些小 片 
组 装 成 能 够 工作 的 表 非 常 困难 。 然 而 ， 通 过 秘密 消息 〈 表 的 装配 指令 )， 就 很 容易 把 表 还 原 。 


2.4 单 向 散 列 函数 


单 向 散 列 函数 (one-way hash function) 有 很 多 名 字 : 压缩 函数 、 收 缩 函 数 、 消 息 摘 
要 、 指 纹 、 密 码 校 验 和 、 信 息 完整 性 检验 (Message Integrity Check，MIC)、 操 作 检 验 码 
(Manipulation Detection Code，MDC) 。 不 管 你 怎么 叫 ， 它 都 是 现代 密码 学 的 中 心 。 单 向 散 
列 函数 是 许多 协议 的 另 一 个 结构 模块 。 

散 列 函数 长 期 以 来 一 直 在 计算 机 科学 中 使 用 ， 无论 从 数学 或 其 他 角度 看 ， 散 列 函 数 就 是 
FER) EK HA COU RAR SY. preimage) 转换 成 固定 长 度 (经 常 更 短 ) 输出 串 (叫做 
散 列 值 ，hash value) 的 一 种 函数 。 简 单 的 散 列 函数 就 是 对 预 映 射 的 处 理 ， 并 且 返 回 由 所 有 
输入 字 节 异 或 组 成 的 字 节 。 

这 里 的 关键 就 是 采集 预 映 射 的 指纹 : 产生 一 个 值 ， 这 个 值 能 够 指出 候选 预 映 射 与 真实 的 
预 映 射 是 否 有 相同 的 值 。 因 为 散 列 函数 是 典型 的 多 到 一 的 函数 ， 所 以 不 能 用 它 来 确定 两 个 串 
一 定 相 同 ， 但 可 用 它 来 得 到 准确 性 的 合理 保证 。 

单 向 散 列 函数 是 在 一 个 方向 上 运算 的 散 列 函数 ， 从 预 映射 的 值 很 容易 计算 其 散 列 值 ， 但 
要 使 其 散 列 值 等 于 一 个 特殊 值 却 很 难 。 前 面 提 到 的 散 列 函数 不 是 单 向 函数 : 已 知 一 个 特殊 的 
字 节 值 ， 要 产生 一 个 字 节 串 使 它 的 异 或 结果 等 于 那个 值 是 很 容易 的 事情 。 用 单 向 散 列 函数 你 
不 可 能 那样 做 。 好 的 散 列 函数 也 是 无 冲突 的 〈collision-free) : 难于 产生 两 个 预 映 射 的 值 ， 使 
它们 的 散 列 值 相同 。 

散 列 函数 是 公开 的 ， 对 处 理 过 程 不 用 保密 。 单 向 散 列 函数 的 安全 性 是 它 的 单 向 性 。 其 输 
出 不 依赖 于 输入 。 平 均 而 言 ， 预 映射 值 单 个 位 的 改变 ， 将 引起 散 列 值 中 一 半 位 的 改变 。 已 知 
一 个 散 列 值 ， 要 找到 预 映射 的 值 ， 使 它 的 散 列 值 等 于 已 知 的 散 列 值 在 计算 上 是 不 可 行 的 。 

可 把 单 向 散 列 函数 看 做 是 构成 指纹 文件 的 一 种 方法 。 如 果 你 想 验 证 某 人 持 有 特定 的 文件 
(你 同时 也 持 有 该 文件 )， 但 你 不 想 让 他 将 文件 传 给 你 ， 那 么 就 要 求 他 将 该 文件 的 单 向 散 列 值 
传送 给 你 。 如 果 他 传送 的 散 列 值 是 正确 的 ， 那么 几乎 可 以 肯定 地 说 他 持 有 那 份 文件 。 这 在 金 
融 交易 中 非常 有 用 ， 你 不 希望 在 网 络 某 个 地 方 把 提取 100 美元 变 成 提取 1000 美元 。 一 般 情 
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况 下 ， 应 使 用 不 带 密 钥 的 单 向 散 列 函数 ， 以 便 任何 人 都 能 验证 散 列 值 。 如 果 你 只 想 让 接收 者 
验证 散 列 值 ， 那 么 就 见 下 一 节 。 


消息 鉴别 码 

消息 鉴别 码 (Message Authentication Code, MAC) 也 叫 数 据 鉴别 码 (DAC), EHF 
有 秘密 密 钥 的 单 向 散 列 函数 〈 见 18. 14 节 )。 散 列 值 是 预 映 射 的 值 和 密 钥 的 函数 。 这 在 理论 
上 与 散 列 函数 一 样 ， 只 有 拥有 密 钥 的 某 些 人 才能 验证 散 列 值 。 可 以 用 散 列 函数 或 分 组 加 密 算 
法 产生 MAC， 也 有 专用 于 MAC 的 算法 。 


2.5 使 用 公开 密 钥 密码 系统 通信 

对 称 算法 可 看 成 保险 柜 ， 密 钥 就 是 保险 柜 的 号 码 组 合 。 知 道 号 码 组 合 的 人 能 够 打开 保险 
柜 ， 放 入 文件 ， 再 关闭 它 。 持 有 号 码 组 合 的 其 他 人 可 以 打开 保险 柜 ， 取 出 文件 。 而 不 知道 保 
险 柜 号 码 组 合 的 人 就 必须 摸索 打开 保险 柜 的 方法 。 

1976 Æ, Whitfield Diffie 和 Martin Hellman 永远 改变 了 密码 学 的 范例 [5 (NSA 宣称 
早 在 1966 年 就 有 了 这 种 概念 的 知识 ， 但 没有 提供 证 据 )， 他 们 提出 了 公开 密 钥 密码 学 (pub- 
lic-key cryptography) 。 他 们 使 用 两 个 不 同 的 密 钥 : 一 个 是 公开 的 ， 另 一 个 是 秘密 的 。 从 公 
开 密 钥 很 难 推断 出 私人 密 钥 。 持 有 公开 密 钥 的 任何 人 都 可 加 密 消 息 ， 但 却 不 能 解密 。 只 有 持 
有 私人 密 钥 的 人 才能 解密 。 就 好 像 有 人 把 密码 保险 柜 变 成 一 个 信箱 ， 把 邮件 投 进 信箱 相当 于 
用 公开 密 钥 加 密 ， 任 何人 都 可 以 做 ， 只 要 打开 窗口 ， 把 它 投 进去 。 取 出 邮件 相当 于 用 私人 密 
钥 解 密 。 一 般 情 况 下 ， 打 开 它 很 难 ， 你 需要 焊接 机 和 火把 。 但 如 果 你 拥有 私人 密 钥 〈 开 信箱 
的 钥匙 ) ， 就 很 容易 从 信箱 中 取出 邮件 。 

从 数学 上 来 说 ， 这 个 过 程 基于 前 面 讨 论 过 的 单 向 陷 门 函数 。 加 密 很 容易 ， 加 密 指 令 就 是 
公开 密 钥 ， 任 何人 都 能 加 密 消息 。 解 密 非 常 困 难 ， 以 至 于 如 果 不 知道 这 个 秘密 ， 即 使 用 
Cray 计算 机 和 数 百 万 年 的 时 间 都 不 能 解 开 这 个 消息 。 这 个 秘密 或 陷 门 就 是 私人 密 钥 。 持 有 
这 个 秘密 ,解密 就 和 加 密 一 样 容易 。 

下 面 描述 Alice 怎样 使 用 公开 密 钥 密码 发 送 消 息 给 Bob: 

(1) Alice 和 Bob 选用 一 个 公开 密 钥 密码 系统 。 

(2) Bob 将 他 的 公开 密 钥 传送 给 Alice。 

(3) Alice 用 Bob 的 公开 密 钥 加 密 她 的 消息 ， 然 后 传送 给 Bob。 

(4) Bob 用 他 的 私人 密 钥 解密 Alice 的 消息 。 

注意 公开 密 钥 密 码 是 怎样 解决 对 称 密码 系统 的 密 钥 管 理 问题 的 。 在 对 称 密码 系统 中 ， 
Alice 和 Bob 不 得 不 选取 同一 密 钥 。Alice 能 够 随机 选取 一 个 ， 但 她 不 得 不 把 选取 的 密 钥 传 给 
Bob。 她 可 能 事先 交 给 Bob， 但 那样 做 需要 有 先 见 之 明 。 她 也 可 以 通过 秘密 信使 把 密 钥 送 给 
Bob， 但 那样 做 太 费 时 间 。 采 用 公开 密 钥 密码 ， 就 很 容易 了 ， 不 用 事先 安排 ，Alice 就 能 把 
消息 安全 地 发 送 给 Bob。 整 个 交换 过 程 一 直 都 在 窃听 的 Eve， 即 使 有 Bob 的 公开 密 钥 和 用 公 
开 密 钥 加 密 的 消息 ， 但 却 不 能 恢复 Bob 的 私人 密 钥 或 者 传送 的 消息 。 

更 一 般 地 说 ， 网 络 中 的 用 户 约定 一 个 公开 密 钥 密码 系统 ， 每 个 用 户 有 自己 的 公开 密 钥 和 
私人 密 钥 ， 并 且 公开 密 钥 在 某 些 地 方 的 数据 库 中 都 是 公开 的 ， 现 在 这 个 协议 就 更 容易 了 : 

(1) Alice 从 数据 库 中 得 到 Bob 的 公开 密 钥 。 

(2) Alice 用 Bob 的 公开 密 钥 加 密 消 息 ， 然 后 送 给 Bob, 

(3) Bob 用 自己 的 私人 密 钥 解密 Alice 发 送 的 消息 。 
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在 第 一 个 协议 中 ， 在 Alice 给 Bob 发 送 消息 前 ，Bob 必须 将 他 的 公开 密 钥 传送 给 Alice; 
而 第 二 个 协议 更 像 传统 的 邮件 方式 ， 直 到 Bob 想 读 他 的 消息 时 ， 他 才 与 协议 有 牵连 。 


2.5.1 混合 密码 系统 

在 讨论 把 DES 算法 作为 标准 的 同时 ， 公 开 了 第 一 个 公开 密 钥 算法 。 这 导致 了 密码 学 团 
体 中 的 政治 党 派 之 争 。 正 如 Diffie 在 文献 [494] 中 所 述 : 

公开 密 钥 密码 系统 在 大 众 和 科学 界 激 起 的 兴奋 与 密码 主管 部 门 的 冷淡 态度 大 相 径 庭 。 就 
在 公开 密 钥 密码 学 问世 的 当年 ，NSA 将 IBM 公司 设计 的 传统 加 密 系 统 推 荐 为 联邦 数据 加 密 
标准 (DES), Marty Hellman 和 我 以 该 系统 的 密 钥 太 短 为 由 对 该 建议 提出 了 批评 ， 但 产业 
界 却 异 常 积 极地 支持 这 一 建议 。 在 大 众 看 来 ， 我 们 的 批评 似乎 是 为 了 阻碍 标准 制订 的 进程 ， 
吹 叫 自己 的 科研 成 果 。 结 果 ， 公 开 密 钥 密 码 学 反而 在 公开 文献 [1125] 和 技术 论文 中 受到 责 
难 ， 好 像 它 不 是 一 项 研究 发 明 ， 而 是 一 种 竞争 产品 。 可 是 ， 所 有 这 些 并 未 影响 NSA 在 此 发 
明 上 的 沽 名 钓 誉 ， 该 局 局 长 在 其 为 《大 英 百 科 全 书 沪 撰写 的 有 关 条 目 中 指出 :“ 国 家 安全 
局 早 在 十 年 前 就 已 发 现 了 双 密 铀 的 密码 技术 。” 但 直至 今日 ， 有 关 这 种 神话 的 证 据 仍 未 大 白 
TR « 

在 现实 世界 中 ， 公 开 密 钥 算 法 不 会 代替 对 称 算 法 。 公 开 密 钥 算 法 不 用 来 加 密 消 息 ， 而 用 
来 加 密 密 钥 。 这 样 做 有 两 个 理由 : 

d) 公开 密 钥 算法 比 对 称 算法 慢 ， 对 称 算 法 一 般 比 公开 密 钥 算 法 快 1000 倍 。 是 的 ， 
计算 机 变 得 越 来 越 快 ， 在 15 年 后 计算 机 运行 公开 密 钥 密码 算法 的 速度 比 得 上 现在 计算 机 
运行 对 称 密码 的 速度 。 但 是 ， 带 宽 需 求 也 在 增加 ， 总 有 比 公 开 密 钥 密 码 处 理 更 快 的 加 密 
数据 要 求 。 

(2) 公开 密 钥 密码 系统 对 选择 明文 攻击 是 脆弱 的 。 如 果 C=E(CP)， 当 已 是 ”个 可 能 明 
文集 中 的 一 个 明文 时 ， 密 码 分 析 者 只 需要 加 密 所 及 个 可 能 的 明文 ， 并 能 与 C 比较 结果 
( 记 住 ， 加 密 密 钥 是 公开 的 )。 用 这 种 方法 ， 他 不 可 能 恢复 解密 密 钥 ， 但 他 能 够 确定 P. 

如 果 持 有 少量 几 个 可 能 加 密 的 明文 消息 ， 那 么 采用 选择 明文 攻击 可 能 特别 有 效 。 例 如 ， 
如 果 P HELL 100 万 美元 少 的 某 个 美元 值 ， 密 码 分 析 家 尝试 所 有 100 万 个 可 能 的 美元 值 (可 
能 的 加 密 解决 了 这 个 问题 ， 参 见 23. 15 节 )。 即 使 PP 不 很 明确 ， 这 种 攻击 也 非常 有 效 。 只 是 
知道 密 文 与 某 个 特殊 的 明文 不 相符 ， 就 可 能 是 有 用 的 消息 。 对 称 密码 系统 不 易 受 这 种 攻击 ， 
因为 密码 分 析 家 不 可 能 用 未 知 的 密 钥 来 完成 加 密 的 尝试 。 

在 大 多 数 实际 的 实现 中 ， 公 开 密 钥 密 码 用 来 保护 和 分 发 会 话 密 钥 (session key) 。 这 些 
会 话 密 钥 用 在 对 称 算法 中 ， 对 通信 消息 进行 保密 ””  。 有 时 称 这 种 系统 为 混合 密码 系统 
(hybrid cryptosystem) 。 

(1) Bob 将 他 的 公开 密 钥 发 给 Alice. 

(2) Alice 产生 随机 会 话 密 钥 K, H Bob 的 公开 密 钥 加 密 ， 并 把 加 密 的 密 钥 Es(K) 送 
给 Bob。 

(3) Bob 用 他 的 私人 密 钥 解密 Alice 的 消息 ， 恢 复出 会 话 密 钥 : Ds (Es(K)) 二 K。 

(4) 他 们 两 人 用 同一 个 会 话 密 钥 对 他 们 的 通信 消息 进行 加 密 。 

把 公开 密 钥 密码 用 于 密 钥 分 配 ， 解 决 了 很 重要 的 密 钥 管理 问题 。 对 对 称 密码 而 言 ， 数 据 
加 密 密 钥 直 到 使 用 时 才 起 作用 。 如 果 Eve 得 到 了 密 钥 ， 那 么 她 就 能 够 解密 用 这 个 密 钥 加 密 
的 消息 。 在 前 面 的 协议 中 ， 当 需要 对 通信 加 密 时 ， 才 产生 会 话 密 钥 ， 不 再 需要 时 就 销毁 ， 这 
极 大 地 减少 了 会 话 密 钥 遭 到 损害 的 风险 。 当 然 ， 私 人 密 钥 面 对 泄 露 是 脆弱 的 ， 但 风险 较 小 ， 
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因为 只 有 每 次 对 通信 的 会 话 密 钥 加 密 时 才 用 它 。 这 在 3. 1 节 将 进一步 讨论 。 


2.5.2 Merkle 的 难题 


Ralph Merkle 发 明了 第 一 个 公开 密 钥 密码 的 设计 。1974 年 他 在 加 州 大 学 伯克利 分 校注 
册 了 由 Lance Hoffman 教授 的 计算 机 安全 课程 。 在 这 个 学 期 初 ， 他 的 学 期 论文 的 题目 是 处 
理 “ 不 安全 信道 上 的 安全 通信 ”的 问题 ?0 。Hoffman 不 理解 Merkle 的 建议 ， 最 终 Merkle 
放弃 了 这 门 课 程 。 尽 管 连 遭 失败 让 人 们 难以 理解 其 结果 ， 但 他 仍 孜 和 孜 不 倦 地 在 这 个 问题 上 工 
作 着 。 

Merkle 的 技术 基于 : 发 送 者 和 接收 者 解决 难题 (Puzzles) 比 窃听 者 更 容易 。 下 面谈 谈 
Alice 怎样 不 用 首先 和 Bob 交换 密 钥 就 能 把 加 密 消 息 发 给 Bob, 

(1) Bob 产生 2” 或 大 约 一 百 万 个 这 种 形式 的 消息 : “这 是 难题 数 zx， 这 是 秘密 密 钥 数 
y” HEP r EMULE y 是 随机 的 秘密 密 钥 。 每 个 消息 的 x 和 yy 都 不 相同 。 采 用 对 称 算 法 ， 
他 用 不 同 的 20 位 密 钥 对 每 个 消息 加 密 ， 并 都 发 给 Alice。 

(2) Alice 随机 选择 一 个 消息 ， 通 过 穷 举 攻击 恢复 明文 。 这 个 工作 量 很 大 ， 但 并 不 是 不 
可 能 的 。 

(3) Alice 用 她 恢复 的 密 钥 和 一 些 对称 算 法 加 密 秘密 消息 ， 并 把 它 和 zx 一 起 发 给 Bob. 

(4) Bob 知道 他 用 于 对 消息 x 加 密 的 秘密 密 钥 y， 这 样 他 就 能 解密 消息 。 

Eve 能够 破译 这 个 系统 ， 但 是 她 必须 做 比 Alice 和 Bob 多 得 多 的 工作 。 为 了 恢复 第 (3) 
步 的 消息 ， 她 必须 完成 对 Bob 在 第 (1) 步 中 的 所 有 2” 个 消息 的 穷 举 攻击 。 这 个 攻击 的 复杂 
性 是 2”。x 的 值 不 会 对 Eve 有 什么 帮助 。 他 们 在 第 (1)〉 步 中 是 随机 指定 的 。 一 般 情况 下 ， 
Eve 花费 的 努力 大 约 是 Alice 花费 的 努力 的 平方 。 

按照 密码 的 标准 , n Bln’ 没有 什么 优势 ， 但 在 某 些 情况 下 ,这 可 能 足够 (复杂 ) T. 
WR Alice 和 Bob 每 秒 可 试 1 万 个 ， 这 将 要 花 他 们 每 个 人 1 分 钟 去 完成 他 们 的 步骤 ， 再 花 另 
外 1 分 钟 在 1. 544MB/s 链 路 上 完成 从 Alice 到 Bob 的 通信 难题 。 如 果 Eve 有 同样 的 计算 设 
备 ， 破 译 这 个 系统 将 花费 她 大 约 1 年 的 时 间 ， 其 他 算法 甚至 更 难 破译 。 


2.6 数字 签名 

在 文件 上 手写 签名 长 期 以 来 被 用 作 作 者 身份 的 证 明 ， 或 至 少 同意 文件 的 内 容 。 签 名 为 什 
么 会 如 此 引 人 注 目 呢 5 2 

(1) 签名 是 可 信 的 。 签 名 使 文件 的 接收 者 相信 签名 者 是 慎重 地 在 文件 上 签字 的 。 

(2) 签名 不 可 伪造 。 签 名 证 明 是 签字 者 而 不 是 其 他 人 慎重 地 在 文件 上 签字 。 

(3) 签名 不 可 重用 。 签 名 是 文件 的 一 部 分 ， 不 法 之 徒 不 可 能 将 签名 移 到 不 同 的 文件 上 。 

(4) 签名 的 文件 是 不 可 改变 的 。 在 文件 签名 后 ， 文 件 不 能 改变 。 

(5) 签名 是 不 可 抵赖 的 。 签 名 和 文件 是 物理 的 东西 。 签 名 者 事后 不 能 声称 他 没有 签 


Y 
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过 名 。 
在 现实 生活 中 ， 关 于 签名 的 这 些 陈述 没有 一 个 是 完全 真实 的 。 签 名 能 够 被 伪造 ， 签 名 能 
够 从 一 篇 文章 盗用 移 到 另 一 篇 文章 中 ,文件 在 签名 后 能 够 被 改变 。 然 而 ， 我 们 之 所 以 愿意 与 
这 些 问题 纠缠 在 一 起 ， 是 因为 欺骗 是 困难 的 ， 并 且 还 要 冒 被 发 现 的 危险 。 

我 们 或 许愿 意 在 计算 机 上 做 这 种 事情 ,但 还 存在 一 些 问题 。 首 先 计算 机 文件 易于 复制 ， 
即使 某 人 的 签名 难以 伪造 〈 例 如 ， 手 写 签名 的 图 形 )， 但 是 从 一 个 文件 到 另 一 个 文件 剪裁 和 
粘贴 有 效 的 签名 都 是 很 容易 的 。 这 种 签名 并 没有 什么 意义 ; 其 次 文件 在 签名 后 也 易于 修改 ， 
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并 且 不 会 留 下 任何 修改 的 痕迹 。 


2.6.1 使 用 对 称 密 码 系统 和 仲裁 者 对 文件 签名 


Alice 想 对 数字 消息 签名 ， 并 送 给 Bob. Æ Trent 和 对 称 密码 系统 的 帮助 下 ， 她 能 做 到 。 

Trent 是 一 个 有 权 的 、 值 得 依赖 的 仲裁 者 。 他 能 同时 与 Alice 和 Bob (也 可 以 是 其 他 想 
对 数据 文件 签名 的 任何 人 ) 通信 。 他 和 Alice 共享 秘密 密 钥 Ka. Al Bob 共享 另 一 个 不 同 的 
秘密 密 钥 Ke 。 这 些 密 钥 在 协议 开始 前 就 早已 建 好 ， 并 且 为 了 多 次 签名 可 多 次 重复 使 用 。 

(1) Alice 用 Ka 加 密 她 准备 发 送 给 Bob 的 消息 ， 并 把 它 传送 给 Trent. 

(2) Trent 用 Ka 解密 消息 。 

(3) Trent 把 这 个 解密 消息 和 他 收 到 Alice 消息 的 声明 ， 一 起 用 Ks 加 密 。 

(4) Trent 把 加 密 的 消息 包 发 送 给 Bob, 

(5) Bob 用 Ks 解密 消息 包 ， 他 就 能 读 Alice 所 发 的 消息 和 Trent 的 证 书 ， 证 明 消 息 来 自 
Alice。 

Trent 怎么 知道 消息 是 从 Alice 而 不 是 从 其 他 冒名 顶替 者 那里 来 的 呢 ? 从 消息 的 加 密 推 
断 出 来 。 由 于 只 有 他 和 Alice 共享 他 们 两 人 的 秘密 密 钥 ， 所 以 只 有 Alice 能 用 这 个 密 钥 加 密 
消息 。 

这 和 与 纸 质 签名 一 样 好 吗 ? 来 看 看 我 们 需要 的 特点 : 

d) 这 个 签名 是 可 信 的 。Trent 是 可 信 的 仲裁 者 ， 并 且 知 道 消息 是 从 Alice 那里 来 的 ， 
Trent 的 证 书 对 Bob 起 着 证 明 的 作用 。 

(2) 这 个 签名 是 不 可 伪造 的 。 只 有 Alice (和 Trent， 但 每 个 人 都 相信 他 ) 知道 Ka, A 
此 只 有 Alice 才能 把 用 Ks。 加 密 的 消息 传 给 Trent。 如 果 有 人 冒充 Alice，Trent 在 第 (2) 步 
马上 就 会 察觉 ， 并 且 不 会 去 证 明 它 的 可 靠 性 。 

(3) 这 个 签名 是 不 能 重新 使 用 的 。 如 果 Bob 想 把 Trent 的 证 书 附 加 到 另 一 个 消息 上 ， 
Alice 可 能 就 会 大 叫 受 骗 了 。 仲 裁 者 (可 能 是 Trent， 或 者 是 可 存 取 同一 消息 的 完全 不 同 的 
仲裁 者 ) 就 会 要 求 Bob 同时 提供 消息 和 Alice 加 密 后 的 消息 ， 然 后 仲裁 者 就 用 Ks 加 密 消息 ， 
他 马上 就 会 发 现 它 与 Bob 提供 的 加 密 消息 不 相同 。 很 显然 ， 由 于 Bob 不 知道 Ka. Wr Lh fh As 
可 能 提供 加 密 消 息 使 它 与 用 Ka 加 密 的 消息 相同 。 

(4) 签名 文件 是 不 能 改变 的 。Bob 在 接收 后 尝试 改变 文件 ，Trent 就 可 用 刚才 描述 的 同 
样 办 法 证 明 Bob 的 思春 行为 。 

(5) 签名 是 不 能 抵赖 的 。 即 使 Alice 以 后 声称 她 没有 发 消息 给 Bob， 但 Trent 的 证 书 会 
说 明 不 是 这 样 。 记 住 ，Trent 是 每 个 人 都 信任 的 ， 他 说 的 都 是 正确 的 。 

如 果 Bob 想 把 Alice 签名 的 文件 给 Carol 阅读 ， 他 不 能 把 自己 的 秘密 密 钥 交 给 她 ， 他 还 
得 通过 Trent: 

(1) Bob 把 消息 和 Trent 关于 消息 是 来 自 Alice 的 声明 用 Ks 加 密 ， 然 后 送 回 给 Trent. 

(2) Trent 用 Ks 解密 消息 包 。 

(3) Trent 检查 他 的 数据 库 ， 并 确认 原始 消息 是 从 Alice 那里 来 的 。 

(4) Trent 用 他 和 Carol 共享 的 密 钥 Kc 重新 加 密 消 息 包 ， 把 它 送 给 Carol, 

(5) Carol 用 Kc 解密 消息 包 ， 她 就 能 阅读 消息 和 Trent 证 实 消息 来 自 Alice 的 证 书 。 

这 些 协议 是 可 行 的 ， 但 对 Trent 来 说 非常 耗 时 。 他 不 得 不 整 天 加 密 、 解 密 消息 ， 在 彼此 
想 发 送 签 名 文件 的 每 一 对 人 之 间 充 当中 间 人 。 他 必须 备 有 消息 数据 库 (虽然 可 以 通过 把 发 送 
者 加 密 的 消息 副本 发 送 给 接收 者 来 避免 )。 在 任何 通信 系统 中 ， 即 使 他 是 上 毫 无 思想 的 软件 程 
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序 ， 它 都 是 通信 的 瓶颈 。 

更 困难 的 是 产生 和 保持 像 Trent 那样 的 网 络 用 户 都 信任 的 人 。Trent 必须 是 完美 无 缺 
的 ， 即 使 他 在 100 万 次 签名 中 只 犯 了 一 个 错误 ， 也 将 不 会 有 人 再 信任 他 。Trent 必须 是 完全 
安全 的 ， 如 果 他 的 秘密 密 钥 数据 库 泄露 了 ， 或 者 有 人 能 修改 他 的 程序 代码 ， 那 么 所 有 人 的 签 
名 都 可 能 变 得 完全 无 用 。 一 些 声 称 是 数 年 前 签名 的 假 文件 便 可 能 出 现 ， 这 将 引起 混乱 ， 政 府 
可 能 倒台 ,混乱 状态 可 能 盛行 。 理 论 上 这 种 协议 或 许 是 可 行 的 ， 但 实际 上 不 能 很 好 运转 。 


2.6.2 数字 签名 树 


Palph Merkle 提出 了 一 个 基于 秘密 密 钥 密码 的 数字 签名 方案 ， 该 方案 利用 树 形 结构 产生 
ERE BY — UAE N88) 。 这 个 方案 的 基本 思想 是 在 某 些 公开 文档 中 放 人 树 的 根 文件 ， 从 
而 鉴别 它 。 根 结 点 对 一 个 消息 签名 ， 并 鉴别 树 中 的 子 结 点 ， 这 些 结 点 的 每 一 个 都 对 消息 签 
名 ， 并 对 它 的 子 结 点 鉴别 ， 一 直 延 续 下 去 。 


2.6.3 使 用 公开 密 钥 密 码 系统 对 文件 签名 


有 几 种 公开 密 钥 算法 能 用 做 数字 签名 。 在 某 些 算法 中 ， 例 如 RSA (参见 19.3 节 )， 公 
开 密 钥 或 私人 密 钥 都 可 用 做 加 密 。 用 你 的 私人 密 钥 加 密 文件 ， 你 就 拥有 安全 的 数字 签名 。 在 
其 他 情况 下 ， 如 DSA (参见 20.1 节 )， 算 法 便 区 分 开 来 了 一 一 数字 签名 算法 不 能 用 于 加 密 。 
这 种 思想 首先 由 Diffie 和 Hellman” 提出 ， 并 且 在 其 他 文章 中 得 到 进一步 的 发 
Fxg 76? 1982. 1024.1288.428) 文献 [1099] 对 这 个 领域 做 了 很 好 的 综述 。 

基本 协议 很 简单 ; 

(1) Alice 用 她 的 私人 密 钥 对 文件 加 密 ， 从 而 对 文件 签名 。 

(2) Alice 将 签名 的 文件 传 给 Bob. 

(3) Bob 用 Alice 的 公开 密 钥 解密 文件 ， 从 而 验证 签名 。 

这 个 协议 比 以 前 的 算法 更 好 。 不 需要 Trent 去 签名 和 验证 。 他 只 需要 证 明 Alice 的 公开 
密 钥 的 确 是 她 的 。 甚 至 协议 的 双方 不 需要 Trent 来 解决 争端 : 如 果 Bob 不 能 完成 第 (3) 步 ， 
那么 他 知道 签名 是 无 效 的 。 

这 个 协议 也 满足 我 们 期 待 的 特征 : 

d) 签名 是 可 信和 的 。 当 Bob 用 Alice 的 公开 密 钥 验证 消息 时 ， 他 知道 是 由 Alice 签名 的 。 

(2) 签名 是 不 可 伪造 的 。 只 有 Alice 知道 她 的 私人 密 钥 。 

(3) 签名 是 不 可 重用 的 。 签 名 是 文件 的 函数 ， 并 且 不 可 能 转换 成 另外 的 文件 。 

(4) 被 签名 的 文件 是 不 可 改变 的 。 如 果 文 件 有 任何 改变 ， 文 件 就 不 可 能 用 Alice 的 公开 
密 钥 验证 。 

(5) 签名 是 不 可 抵赖 的 。Bob 不 用 Alice 的 帮助 就 能 验证 Alice 的 签名 。 


2.6.4 文件 签名 和 时 间 标 记 


实际 上 ，Bob 在 某 些 情况 下 可 以 欺骗 Alice。 他 可 能 把 签名 和 文件 一 起 重用 。 如 果 Alice 
在 合同 上 签名 ， 这 种 重用 不 会 有 什么 问题 。 但 如 果 Alice 在 一 张 数字 支票 上 签名 ， 那 么 这 样 
做 就 令 人 兴奋 了 。 

假若 Alice 交 给 Bob 一 张 100 美元 的 签名 数字 支票 ，Bob 把 支票 拿 到 银行 去 验证 签名 ， 
然后 把 钱 从 Alice 的 账户 转 到 自己 的 账户 。Bob 是 一 个 无 耻 之 徒 ， 他 保存 了 数字 支票 的 副 
本 。 过 了 一 星期 ， 他 又 把 数字 支票 拿 到 银行 〈 或 者 可 能 是 另 一 家 银行 )， 银 行 验证 数字 支票 
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并 把 钱 转 到 他 的 账户 。 只 要 Alice 不 对 支票 本 清 账 ，Bob 就 可 以 一 直 于 下 去 。 

因此 ， 数 字 签名 经 常 包 括 时 间 标 记 。 对 日 期 和 时 间 的 签名 附 在 消息 中 ， 并 与 消息 中 的 其 
他 部 分 一 起 签名 。 银 行将 时 间 标 记 存 储 在 数据 库 中 。 现 在 ， 当 Bob 第 二 次 想 支 取 Alice HX 
票 时 ， 银 行 就 要 检查 时 间 标 记 是 否 和 数据 库 中 的 一 样 。 由 于 银行 已 经 从 Alice 的 支票 上 支付 
了 这 一 时 间 标 记 的 支票 ， 于 是 就 叫 警察 。 这 样 一 来 ，Bob 就 要 在 Leavenworth 监狱 中 度 过 
15 个 春秋 去 研读 密码 协议 的 书籍 了 。 


2.6.5 使 用 公开 密 钥 密码 系统 和 单 向 散 列 函数 对 文件 签名 

在 实际 的 实现 过 程 中 ， 采 用 公开 密 钥 密码 算法 对 长 文件 签名 效率 太 低 。 为 了 节约 时 间 ， 
数字 签名 协议 经 常 和 单 向 散 列 函数 一 起 使 用 。Alice 并 不 对 整个 文件 签名 ， 只 对 文件 的 散 列 
值 签名 。 在 这 个 协议 中 ， 单 向 散 列 函 数 和 数字 签名 算法 是 事先 协商 好 的 。 

(1) Alice 产生 文件 的 单 向 散 列 值 。 

(2) Alice 用 她 的 私人 密 钥 对 散 列 值 加 密 ， 由 此 对 文件 签名 。 

(3) Alice 将 文件 和 签名 的 散 列 值 送 给 Bob. 

(4) Bob 用 Alice 发 送 的 文件 产生 文件 的 单 向 散 列 值 ， 然 后 用 数字 签名 算法 对 散 列 值 进 
行 运算 ， 同 时 用 Alice 的 公开 密 钥 对 签名 的 散 列 值 解密 。 如 果 签 名 的 散 列 值 与 自己 产生 的 散 
列 值 匹配 ， 签 名 就 是 有 效 的 。 

计算 速度 大 大 地 提高 了 ， 因 为 两 个 不 同文 件 有 相同 的 160 位 散 列 值 的 概率 为 1/2”， 所 
以 使 用 散 列 函数 的 签名 和 文件 签名 一 样 安全 。 如 果 使 用 非 单 向 散 列 函数 ， 就 可 能 很 容易 产生 
多 个 文件 的 散 列 值 相 同 ， 这 样 对 特定 的 文件 签名 就 可 复制 用 于 对 大 量 的 文件 签名 。 

这 个 协议 还 有 其 他 好 处 。 首 先 ， 签 名 和 文件 可 以 分 开 保 存 。 其 次 ， 接 收 者 对 文件 和 签名 
的 存储 量 要 求 大 大 降低 了 。 档 案 系 统 可 用 这 类 协议 来 验证 文件 的 存在 而 无 需 保 存 它们 的 内 
容 。 中 央 数 据 库 只 需 存 储 各 个 文件 的 散 列 值 ， 根 本 不 需要 看 文件 。 用 户 将 文件 的 散 列 值 传 给 
数据 库 ， 然 后 数据 库 对 提交 的 文件 加 上 时 间 标 记 并 保存 。 如 果 以 后 有 人 对 某 文件 的 存在 发 生 
争执 ， 数 据 库 可 通过 找到 文件 的 散 列 值 来 解决 争端 。 这 里 可 能 牵连 到 大 量 的 隐秘 : Alice 可 
能 有 某 文件 的 版 权 ， 但 仍 保持 文件 的 秘密 。 只 有 当 她 想 证 明 她 的 版 权时 ， 她 才 不 得 不 把 文件 
公开 (参见 4. 1 节 )。 


2.6.6 算法 和 术语 

还 有 许多 种 数字 签名 算法 ， 它 们 都 是 公开 密 钥 算 法 ， 用 秘密 消息 对 文件 签名 ， 用 公开 消 
息 去 验证 签名 。 有 时 签名 过 程 也 叫做 “用 私人 密 钥 加 密 ”， 验 证 过 程 也 叫做 “用 公开 密 钥 解 
密 ”， 这 会 使 人 误解 ， 并 且 只 对 RSA 这 个 算法 而 言 才 是 这 样 ， 而 不 同 的 算法 有 不 同 的 实现 ， 
例如 ， 有 时 使 用 单 向 散 列 函数 和 时 间 标 记 对 签名 和 验证 过 程 进行 处 理 需 要 增加 额外 的 步 又。 
许多 算法 可 用 做 数字 签名 ， 但 不 能 用 做 加 密 。 

一 般 地 ， 提 到 签名 和 验证 过 程 通常 不 包括 任何 算法 的 细节 。 用 私人 密 钥 K 对 消息 进行 
签名 可 表示 为 Sx (M)， 用 相应 的 公开 密 钥 验 证 消息 可 表示 为 Vx (MD)。 

在 签名 时 ， 附 在 文件 上 的 位 串 (在 上 面 的 例子 中 ， 用 私人 密 钥 对 文件 的 单 向 散 列 值 加 
密 ) 叫做 数字 签名 (digital signature) ， 或 者 签名 (signature)。 消 息 的 接收 者 用 以 确认 发 送 
者 身份 和 消息 完整 性 的 整个 协议 叫做 鉴别 。 这 些 协议 进一步 的 细节 将 在 3. 2 节 中 讨论 。 


2.6.7 多 重 签名 
Alice 和 Bob 怎么 对 同一 个 数字 文件 签名 呢 ? 不 用 单 向 散 列 函 数 ， 有 两 种 选择 : 第 一 种 
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选择 是 Alice 和 Bob 分 别 对 文件 的 副本 签名 ， 结 果 签 名 的 消息 是 原文 的 两 倍 ; 第 二 种 就 是 
Alice 首先 签名 ， 然 后 Bob 对 Alice 的 签名 再 进行 签名 。 这 是 可 行 的 ， 但 是 在 不 验证 Bob 签 
名 的 情况 下 就 验证 Alice 的 签名 是 不 可 能 的 。 

采用 单 向 散 列 函数 ， 很 容易 实现 多 重 签 名 : 

(1) Alice 对 文件 的 散 列 签名 。 

(2) Bob 对 文件 的 散 列 签名 。 

(3) Bob 将 他 的 签名 交 给 Alice。 

(4) Alice 把 文件 、 她 的 签名 和 Bob 的 签名 发 给 Carol。 

(5) Carol 验证 Alice 和 Bob 的 签名 。 

Alice 和 Bob 能 同时 或 顺序 地 完成 第 (1) 步 和 第 (2) 步 ; 在 第 (5) 步 中 Carol 可 以 只 
验证 其 中 一 人 的 签名 而 不 用 验证 另 一 人 的 签名 。 


v w 


w 


2.6.8 抗 抵赖 和 数字 签名 


Alice 有 可 能 用 数字 签名 进行 欺骗 ， 并 且 无 人 能 阻止 她 。 她 可 能 对 文件 签名 ， 然 后 声称 
并 没有 那样 做 。 首 先 ， 她 按 常 规 对 文件 签名 ， 然 后 她 以 匿名 的 形式 发 布 她 的 私人 密 钥 ,故意 
把 私人 密 钥 丢失 在 公共 场所 ,或 者 只 要 假装 做 上 面 两 者 中 的 一 个 。 这 样 ， 发 现 该 私人 密 钥 的 
任何 人 都 可 伪装 成 Alice 对 文件 签名 。 于 是 Alice 就 声明 她 的 签名 受到 侵害 ， 其 他 人 正在 假 
装 她 签名 等 。 她 否认 对 文件 的 签名 和 任何 其 他 的 用 她 的 私人 密 钥 签名 的 文件 ， 这 叫做 抵赖 
(repudiation) 。 

采用 时 间 标 记 可 以 限制 这 种 欺骗 的 作用 ,但 Alice 总 可 以 声称 她 的 密 钥 在 较 早 的 时 候 就 
丢失 了 。 如果 Alice 把 事情 做 得 好 ， 她 可 以 对 文件 签名 ， 然 后 成 功 地 声称 并 没有 对 文件 签 
名 。 这 就 是 为 什么 我 们 经 常 听 到 把 私人 密 钥 隐 藏 在 防 拆 模块 中 的 原因 ， 这 样 Alice 就 不 可 能 
得 到 和 乱用 私人 密 铀 了 。 

虽然 没有 办 法 阻止 这 种 可 能 的 乱用 ， 但 可 以 采取 措施 保证 旧 的 签名 不 会 失效 〈 例 如 ， 
Alice 可 能 有 意 丢 失 她 的 密 钥 ， 以 便 不 用 对 昨天 从 Bob 那里 买 的 旧 车 付 账 ， 在 这 个 过 程 中 ， 
Alice 使 她 的 银行 账户 无 效 )。 数 字 签 名 文件 的 接收 者 持 有 签名 的 时 间 标 记 就 能 解决 这 个 
问题 31。 

文献 C28] 中 给 出 了 通用 协议 : 

(1) Alice 对 消息 签名 。 

(2) Alice 产生 一 个 报头 ， 报 头 中 包含 有 些 鉴别 消息 。 她 把 报头 和 签名 的 消息 连接 起 来 ， 
对 连接 的 消息 签名 ， 然 后 把 签名 的 消息 发 给 Trent。 

(3) Trent 验证 外 面 的 签名 ， 并 确认 鉴别 消息 。 他 在 Alice 签名 消息 中 增加 一 个 时 间 标 
记 和 鉴别 消息 。 然 后 对 所 有 的 消息 签名 ， 并 把 它 发 给 Bob 和 Alice。 

(4) Bob 验证 Trent 的 签名 、 鉴 别 消息 和 Alice 的 签名 。 

(5) Alice 验证 Trent 发 给 Bob 的 消息 。 如 果 她 没有 发 起 这 个 消息 ， 她 很 快 就 会 大 喊 大 
at 

一 个 方案 是 在 事后 有 劳 Trentt*” 。Bob 在 接收 签名 消息 后 ， 他 可 能 把 副本 发 给 Trent 
on Trent 能 够 证 实 Alice 签名 的 有 效 性 。 


2.6.9 数字 签名 的 应 用 
数字 签名 最 早 的 应 用 之 一 是 用 来 对 禁止 核 试验 条 约 的 验证 "”"" 。 美 国 和 苏联 互相 人 允 


29 


30 
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许 把 地 震 测试 仪 放 入 另 一 个 国家 中 ， 以 便 对 核 试验 进行 监控 。 问 题 是 每 个 国家 需要 确信 东道 
国 没有 窜改 从 监控 国家 的 地 震 仪 传 来 的 数据 。 同 时 ， 东 道 主 国家 需要 确信 监控 器 只 发 送 需 要 
监测 的 特定 消息 。 

传统 的 鉴别 技术 能 解决 第 一 个 问题 ， 但 只 有 数字 签名 能 同时 解决 两 个 问题 。 东 道 国 一 方 
只 能 读 ， 但 不 能 寓 改 从 地 震 测 试 仪 来 的 数据 ;而 监控 国 确信 数据 没有 被 窜改 。 


2.7 带 加 密 的 数字 签名 

通过 把 公开 密 钥 密码 和 数字 签名 结合 起 来 ， 能 够 产生 一 个 协议 ， 可 把 数字 签名 的 真实 性 
和 加 密 的 安全 性 合 起 来 。 想 象 你 妈妈 写 的 一 封 信 : 签名 提供 了 原作 者 的 证 明 ， 而 信封 提供 了 
秘密 性 。 

(1) Ailce 用 她 的 私人 密 钥 对 消息 签名 : SaM). 

(2) Alice 用 Bob 的 公开 密 钥 对 签名 的 消息 加 密 ， 然 后 发 送 给 Bob: Es(Sa(M))。 

(3) Bob 用 他 的 私人 密 钥 解 密 : Dp CEg(S,(M)))=S,(M). 

(4) Bob 用 Alice 的 公开 密 钥 验 证 并 且 恢 复 消息 : VaCS,(M))=M, 

加 密 前 签名 是 很 自然 的 。 当 Alice 写 一 封 信 时 ， 她 在 信 中 签名 ， 然 后 把 信 装 入 信封 中 。 
如 果 她 把 没 签名 的 信 放 和 信封， 然后 在 信封 上 签名 ， 那 么 Bob 可 能 会 担心 这 封 信 是 否 被 替 
换 了 。 如 果 Bob 把 Alice 的 信和 信封 给 Carol Æ, Carol 可 能 因 信 没 装 对 信封 而 控告 Bob 
说 谎 。 

在 电子 通信 中 也 是 这 样 ， 加 密 前 签名 是 一 种 谨慎 的 习惯 做 法 5 。 这 样 做 不 仅 更 安全 
(敌人 不 可 能 从 加 密 消息 中 把 签名 移 走 ， 然 后 加 上 他 自己 的 签名 )， 而 且 还 有 法 律 的 考虑 : 当 
他 附加 他 的 签名 时 ， 如 果 签 名 者 不 能 见 到 被 签名 的 文本 ， 那 么 签名 没有 多 少 法 律 强制 作 
FAS, AR — HEEL Mt RSA 签名 技术 的 密码 分 析 攻 击 (参见 19. 3 节 ) 。 

Alice 没有 理由 必须 把 同一 个 公开 密 钥 /私人 密 钥 对 用 作 加 密 和 签名 。 她 可 以 有 两 个 密 钥 
Xt: 一 个 用 作 加 密 ， 另 一 个 用 作 解 密 。 分 开 使 用 有 它 的 好 处 : 她 能 够 把 加 密 密 钥 交 给 警察 而 
不 泄露 她 的 签名 ， 一 个 密 钥 被 托管 (参见 4. 13 节 ) 不 会 影响 到 其 他 密 钥 ， 并 且 密 钥 能 够 有 
不 同 的 长 度 ， 能 够 在 不 同 的 时 间 终 止 使 用 。 

当然 ， 这 个 协议 应 该 用 时 间 标 记 来 阻止 消息 的 重复 使 用 。 时 间 标 记 也 能 阻止 其 他 潜在 的 
危险 ， 例 如 下 面 描述 的 这 种 情形 。 


2.7.1 重新 发 送 消息 作为 收据 

我 们 来 考虑 这 个 协议 附带 确认 消息 的 实现 情形 : 每 当 Bob 接收 到 消息 后 ， 他 再 把 它 传 
送 回 发 送 者 作为 接收 确认 。 

(1) Alice 用 她 的 私人 密 钥 对 消息 签名 ， 再 用 Bob 的 公开 密 钥 加 密 ， 然 后 传 给 Bob: Ey (Sq 
(M). 

(2) Bob 用 他 的 私人 密 钥 对 消息 解密 ， 并 用 Alice 的 公开 密 钥 验证 签名 ， 由 此 验证 确实 
是 Alice 对 消息 签名 ， 并 恢复 消息 : Va(CDa(CEs(SACM) ))) 一 M。 

(3) Bob 用 他 的 私人 密 钥 对 消息 签名 ， 用 Alice 的 公开 密 钥 加 密 ， 再 把 它 发 送 回 Alice: 
E, (Ss M)). 

(4) Alice 用 她 的 私人 密 钥 对 消息 解密 ， 并 用 Bob 的 公开 密 钥 对 验证 Bob 的 签名 。 如 果 
接收 的 消息 与 她 传 给 Bob 的 相同 ， 她 就 知道 Bob 准确 地 接收 到 了 她 所 发 送 的 消息 。 

如 果 同 一 个 算法 既 用 做 加 密 又 用 做 数字 签名 ,就 有 可 能 受到 攻击 “1 。 在 这 些 情 况 中 ， 
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数字 签名 操作 是 加 密 操 作 的 逆 过 程 : Vx 王 Ex， 并 且 Sx 一 Dx。 

假设 Mallory 是 持 有 自己 公开 密 钥 和 私人 密 钥 的 系统 合法 用 户 。 让 我 们 看 看 他 怎么 读 
Bob 的 邮件 。 首 先 他 将 Alice Æ (1) 中 发 送 给 Bob 的 消息 记录 下 来 ， 在 以 后 的 某 个 时 间 ， 
他 将 那个 消息 发 送 给 Bob， 声 称 消 息 是 从 Mallory 来 的 。Bob 认为 是 从 Mallory 来 的 合法 消 
息 ， 于 是 就 用 私人 密 钥 解密 ， 然 后 用 Mallory 的 公开 密 钥 解密 来 验证 Mallory 的 签名 ， 那 么 
得 到 的 消息 纯粹 是 乱七八糟 的 消息 : 

Ey (Dz (Es (Da (M)))) = Ey (Da (M)) 
即使 这 样 ，Bob 继续 执行 协议 ， 并 且 将 收据 发 送 给 Mallory: 
Ey (Dp (Em (Da (M)))) 

现在 Mallory 所 要 做 的 就 是 用 他 的 私人 密 钥 对 消息 解密 ， 用 Bob 的 公开 密 钥 加密 ， 再 用 
自己 的 私人 密 钥 解密 ， 并 用 Alice 的 公开 密 钥 加 密 。 哇 ! Mallory 就 获得 了 所 要 的 消息 M。 

WH Bob 会 自动 回 送 给 Mallory 一 个 收据 不 是 不 合理 的 。 例 如 ， 这 个 协议 可 能 做 人 在 通 
信 软 件 中 ， 并 且 在 接收 后 自动 发 送 收据 。 收 到 乱七八糟 的 东西 也 送出 确认 收据 会 导致 不 安全 
性 。 如 果 在 发 送 收据 前 仔细 地 检查 消息 是 否 能 理解 ， 就 能 避免 这 个 安全 问题 。 

还 有 一 种 更 强 的 攻击 ， 就 是 允许 Mallory 送 给 Bob 一 个 与 窃听 的 消息 不 同 的 消息 。 不 要 
对 从 其 他 人 那里 来 的 消息 随便 签名 并 将 结果 交 给 其 他 人 。 


2.7.2 阻止 重新 发 送 攻击 

由 于 加 密 运算 与 签名 /验证 运算 相同 ， 同 时 解密 运算 又 与 签名 运算 相同 ， 因 此 上 述 攻 击 
才 奏 效 。 安 全 的 协议 应 该 是 加 密 和 数字 签名 操作 稍微 不 同 ， 每 次 操作 使 用 不 同 的 密 钥 即 可 做 
到 这 一 点 ; 每 次 操作 使 用 不 同 的 算法 也 能 做 到 ; 采用 时 间 标 记 也 能 做 到 ， 它 使 输入 的 消息 和 
输出 的 消息 不 同 ; 用 单 向 散 列 函 数 的 数字 签名 也 能 解决 这 个 问题 (参见 2. 6 节 )。 

一 般 说 来 ， 下 面 这 个 协议 非常 安全 ， 它 使 用 的 是 公开 密 钥 算 法 : 

(1) Alice 对 消息 签名 。 

(2) Alice 用 Bob 的 公开 密 钥 对 消息 和 签名 加 密 〈 采 用 和 签名 算法 不 同 的 加 密 算 法 )， 
然后 将 它 传送 给 Bob. 

(3) Bob 用 他 的 私人 密 钥 对 消息 解密 。 

(4) Bob 验证 Alice 的 签名 。 


2.7.3 对 公开 密 钥 密码 系统 的 攻击 

在 所 有 公开 密 钥 密码 协议 中 ， 回 避 了 Alice 怎么 得 到 Bob 的 公开 密 钥 这 件 事 。3. 1 节 将 
更 详细 地 讨论 ， 但 在 这 里 值得 提 及 。 

得 到 某 人 公开 密 钥 的 最 容易 方法 是 从 某 个 地 方 的 安全 数据 库 中 得 到 。 这 个 数据 库 必须 是 
公开 的 ， 以 便 任 何人 都 可 得 到 其 他 人 的 公开 密 钥 。 数 据 库 也 必须 阻止 Trent 以 外 的 其 他 人 写 
入 数据 ， 否 则 Mallory 可 能 用 他 选取 的 任意 一 个 公开 密 钥 代替 Bob 的 公开 密 钥 。 那 样 做 后 ， 
Bob 就 不 能 读 取 别 人 发 给 他 的 消息 ， 但 Mallory 却 能 读 。 

即使 公开 密 钥 存储 在 安全 数据 库 中 ，Mallory 仍 能 在 传送 期 间 用 另外 的 公开 密 钥 来 代替 
它 。 为 了 防止 这 个 问题 ，Trent 可 用 他 的 私人 密 钥 对 每 个 公开 密 钥 进行 签名 。 当 用 这 种 方式 
时 ，Trent 常 称 为 密 钥 鉴定 机 关 (Key Certification Authority) 或 密 钥 分 配 中 心 (Key Dis- 
tribution Center，KDC) 。 在 实际 实现 中 ，KDC 对 由 用 户 名 、 公 开 密 钥 和 其 他 用 户 的 重要 消 
息 组 成 的 一 组 消息 进行 签名 。 被 签名 的 这 组 消息 存储 在 KDC 数据 库 中 。 当 Alice 得 到 Bob 
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的 密 钥 时 ， 她 验证 KDC 的 签名 以 确认 密 钥 的 有 效 性 。 

即使 采用 了 上 述 措施 ， 对 Mallory 来 说 进行 攻击 也 并 不 是 不 可 能 的 ， 只 不 过 增加 了 困 
ME. Alice 仍 将 KDC 的 公开 密 钥 存储 在 某 个 地 方 ，Mallory 只 得 用 自己 的 公开 密 钥 代替 那个 
密 钥 ， 破 坏 数据 库 ， 然 后 用 自己 的 密 钥 代替 有 效 密 钥 〈 好 像 他 就 是 KDC 一 样 ， 用 自己 的 私 
人 密 钥 对 所 有 密 钥 签名 )， 再 进行 运算 。 如 果 Mallory 要 制造 更 多 的 麻烦 ， 他 甚至 连 文件 签 
名 都 可 以 伪造 。 密 钥 交 换 将 在 3. 1 节 详 细 讨 论 。 


2.8 随机 和 伪 随 机 序列 的 产生 

为 什么 在 一 本 关于 密码 学 的 书 中 要 不 厌 其 烦 地 谈论 随机 数 产生 呢 ?7 随机 数 发 生 器 已 敌人 
在 大 多 数 编译 器 中 了 ， 产 生 随 机 数 仅仅 是 函数 调用 而 已 。 为 什么 不 用 这 种 编译 器 呢 ? ANE AY 
是 ， 这 种 随机 数 发 生 器 对 密码 来 说 几乎 肯定 是 不 安全 的 ， 甚 至 可 能 不 是 很 随机 的 。 它 们 中 的 
大 多 数 都 是 非常 差 的 随机 数 。 

随机 数 发 生 器 并 不 是 完全 随机 的 ， 因 为 它们 不 必要 这 样 。 像 计算 机 游戏 ， 大 多 数 简单 应 
用 中 只 需 几 个 随机 数 ， 几 乎 无 人 注意 到 它们 。 然 而 密码 学 对 随机 数 发 生 器 的 性 质 是 极其 敏感 
的 。 用 粗 劣 的 随机 数 发 生 器 ， 你 会 得 到 毫 不 相干 和 奇怪 的 结果 "2 。 如 果 安 全 性 依赖 于 
随机 数 发 生 器 ， 那 么 你 最 后 得 到 的 东西 就 是 这 种 毫 不 相干 和 奇怪 的 结果 。 

随机 数 发 生 器 不 能 产生 随机 序列 ， 它 甚至 可 能 产生 不 了 乍 看 起 来 像 随机 序列 的 数 。 当 
然 ， 在 计算 机 上 不 可 能 产生 真正 的 随机 数 。Donald Knuth 引用 冯 ，。 诺 依 曼 的 话 :“ 任 何人 考 
虑 用 数学 的 方法 产生 随机 数 肯定 是 不 合 情 理 的 .。” 计 算 机 的 确 是 怪兽 : 数据 从 一 端 进入 ,在 
内 部 经 过 完全 可 预测 的 操作 ， 从 另 一 端 出 来 的 却 是 不 同 的 数据 ; 把 同一 个 数据 在 不 相干 情况 
下 输入 进去 ， 两 次 出 来 的 数据 是 相同 的 ; 把 同样 的 数据 送 入 相同 的 两 个 计算 机 ， 它 们 的 运算 


“结果 是 相同 的 。 计 算 机 上 只 能 是 一 个 有 限 的 状态 数 〈 一 个 大 数 ， 但 无 论 如 何 是 有 限 的 )， 并 且 


输出 状态 总 是 过 去 的 输入 和 计算 机 的 当前 状态 确定 的 函数 。 这 就 是 说 ， 计 算 机 中 的 随机 序列 
REi CBD, FEA BURA BLD 是 周期 性 的 ， 任 何 周期 性 的 东西 都 是 可 预测 的 。 如 果 是 可 
预测 的 ， 那 么 它 就 不 可 能 是 随机 的 。 真 正 的 随机 序列 发 生 器 需要 随机 输入 ， 计 算 机 不 可 能 提 
供 这 种 随机 输入 。 


2.8.1 伪 随 机 序列 


最 好 的 计算 机 能 产生 的 是 伪 随 机 序列 发 生 器 (pseudo-random-sequence generator)。 什 
么 意思 呢 ? 许多 人 试图 形式 化 地 定义 它 ， 但 我 不 赞成 ， 伪 随机 数 序列 看 起 来 是 随机 的 序列 ， 
序列 的 周期 应 足够 长 ， 使 得 实际 应 用 中 相当 长 的 有 限 序列 都 不 是 周期 性 的 。 就 是 说 ， 如 果 你 
需要 10 亿 个 随机 位 ， 就 不 要 选择 仅 在 16 000 位 后 就 重复 的 序列 发 生 器 。 这 些 相 对 短 的 非 周 
期 性 的 子 序列 应 尽 可 能 和 随机 序列 没有 多 少 区 别 。 例 如 ， 它 们 应 该 有 大 约 相 同 数目 的 0 和 
1， 长 度 为 1 的 游程 大 约 占 一 半 ( 相 同位 序列 )， 长 度 为 2 的 游程 占 1/4， 长 度 为 3 的 游程 占 
1/8 等 。 它 们 应 该 是 不 可 压缩 的 ，0 和 1 游程 的 分 布 应 该 是 相同 的 “3” 中 。 这 些 性 质 根 
据 实验 测 得 ， 然 后 用 chi-square 检验 与 统计 期 望 值 比较 得 来 。 

为 了 我 们 的 目的 ， 如 果 序 列 发 生 器 是 伪 随 机 的 ， 它 应 该 有 下 面 的 性 质 : 

。 看 起 来 是 随机 的 ， 这 表明 它 能 通过 我 们 所 能 找到 的 所 有 随机 性 统计 检验 〈 从 C863] 

中 的 检验 开始 ) 。 

人 们 在 计算 机 上 已 经 做 了 许多 努力 来 产生 好 的 伪 随 机 序列 ， 学 术 文献 中 有 很 多 是 讨论 伪 

随机 序列 发 生 器 和 各 种 随机 性 检验 的 ， 但 所 有 这 些 发 生 器 都 是 周期 性 的 “〈 无 一 例外 ) 。 然 而 
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周期 大 于 2” 位 的 随机 数 序列 ， 就 能 大 量 应 用 。 

这 里 的 关键 问题 还 是 那些 上 毫 不 相干 和 奇怪 的 结果 。 如 果 你 以 某 种 方式 使 用 它们 ， 则 每 个 
随机 数 序列 发 生 吉 都 将 产生 这 些 结果 。 这 正 是 为 什么 密码 分 析 者 用 它 来 对 系统 进行 攻击 的 
原因 。 


2.8.2 密码 学 意义 上 安全 的 伪 随 机 序列 


密码 的 应 用 比 其 他 大 多 数 应 用 对 伪 随 机 序列 的 要 求 更 严格 。 密 码 学 的 随机 性 并 不 仅仅 意 
味 着 统计 的 随机 性 ， 虽 然 它 也 是 其 中 的 一 部 分 。 密 码 学 意义 上 安全 的 伪 随 机 序列 〈crypto- 
graphically secure pseudo-random sequence) 还 必须 具有 下 面 的 性 质 : 

。 它 是 不 可 预测 的 。 即 使 给 出 产生 序列 的 算法 或 硬件 和 所 有 以 前 产生 的 位 序列 的 全 部 

知识 ， 也 不 可 能 通过 计算 来 预测 下 一 个 随机 位 是 什么 。 

密码 学 意义 上 安全 的 伪 随 机 序列 应 该 是 不 可 压缩 的 ……: 除非 你 知道 密 钥 。 密 钥 通常 是 用 
来 设置 发 生 器 初始 状态 的 种 子 。 

像 任 何 密码 算法 一 样 ， 密 码 学 意义 上 安全 的 伪 随 机 序列 发 生 器 也 会 受到 攻击 。 就 好 像 加 
密 算法 有 可 能 被 破译 一 样 ， 破 译 密 码 学 意义 上 安全 的 伪 随 机 序列 发 生 器 也 是 可 能 的 。 密 码 学 
讲 的 都 是 关于 如 何 使 发 生 器 抵抗 攻击 。 


2.8.3 真正 的 随机 序列 


现在 我 们 走 进 哲学 家 的 领域 ， 真 有 随机 数 这 样 的 东西 吗 ? 随机 序列 是 什么 ”你 怎么 知道 
序列 是 随机 的 ?“101110100” 比 “101010101” 更 随机 吗 ? 量子 力学 告诉 我 们 ， 在 现实 世界 
中 有 真正 的 随机 性 。 但 是 在 计算 机 芯片 和 有 限 状态 机 的 确定 世界 中 ， 这 种 随机 性 还 能 保 
持 吗 ? 

暂且 不 说 哲学 。 从 我 们 的 观点 来 说 ， 如 果 一 个 随机 序列 发 生 器 具有 下 面 的 性 质 ， 它 就 是 
真正 的 随机 (real random): 

。 它 不 能 重复 产生 。 如 果 你 用 完全 同样 的 输入 对 序列 发 生 器 操作 两 次 〈 至 少 与 人 所 能 

做 到 的 最 精确 的 一 样 ) ， 你 将 得 到 两 个 不 相关 的 随机 序列 。 

满足 这 三 条 性 质 的 发 生 器 的 输出 对 于 一 次 一 密 乱码 本 、 密 钥 产 生 和 任何 其 他 需要 真正 的 
随机 数 序列 发 生 器 的 密码 应 用 来 说 都 是 足够 好 的 。 难 点 在 于 确定 真正 的 随机 数 。 如 果 我 用 一 
个 给 定 的 密 铀 ， 用 DES 算法 重复 地 对 一 个 字符 串 加 密 ， 我 将 得 到 一 个 好 的 ， 看 起 来 随机 的 
输出 。 但 你 仍 不 可 能 知道 它 是否 真 正 的 随机 数 ， 除 非 你 租用 NSA 的 DES 破译 专家 。 
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通常 的 密码 技术 使 用 单独 的 密 钥 对 每 一 次 单独 的 会 话 加 密 ， 这 个 密 钥 称 为 会 话 密 钥 ， 因 
为 它 只 在 一 次 特殊 的 通信 中 使 用 。 正 如 8. 5 节 讨 论 的 一 样 ， 会 话 密 钥 只 用 于 通信 期 间 。 这 个 
会 话 密 钥 怎 么 到 达 会 话 者 的 手中 是 很 复杂 的 事情 。 


3.1.1 对 称 密码 系统 的 密 钥 交换 

这 个 协议 假设 Alice 和 Bob (网 络 上 的 用 户 ) 每 人 与 KDC 共享 一 个 秘密 密 钥 92s0] ， 在 我 
们 的 协议 中 Trent 就 是 KDC。 在 协议 开始 执行 前 ， 这 些 密 钥 必须 在 适当 的 位 置 (协议 忽略 
了 怎么 分 配 这 些 秘 密 密 钥 这 个 非常 实际 的 问题 ， 只 是 假设 它们 在 适当 的 位 置 ， 并 且 Mallory 
不 知道 它们 是 什么 ) 。 

(1) Alice 呼叫 Trent， 并 请 求 一 个 与 Bob 通信 的 会 话 密 钥 。 

(2) Trent 产生 一 个 随机 会 话 密 钥 ， 并 对 它 的 两 个 副本 加 密 : 一 个 用 Alice 的 密 钥 加 密 ， 
另 一 个 用 Bob 的 密 钥 加 密 。Trent 给 Alice 发 送 这 两 个 副本 。 

(3) Alice 对 她 的 会 话 密 钥 的 副本 解密 。 

(4) Alice 将 Bob 的 会 话 密 钥 副本 送 给 Bob, 

(5) Bob 对 他 的 会 话 密 钥 的 副本 解密 。 

(6) Alice 和 Bob 用 这 个 会 话 密 钥 安全 地 通信 。 

这 个 协议 依赖 于 Trent 的 绝对 安全 性 。Trent 更 可 能 是 可 信 的 计算 机 程序 ， 而 不 是 可 信 
的 个 人 。 如 果 Mallory 破坏 了 Trent， 整 个 网 络 都 会 遭受 损害 。 他 有 Trent 与 每 个 用 户 共享 
的 所 有 秘密 密 钥 ; 他 可 以 读 所 有 过 去 和 将 来 的 通信 业务 。 他 所 做 的 事情 就 是 对 通信 线路 进行 
搭 线 窃听 ， 并 监听 加 密 的 消息 流量 。 

另外 一 个 问题 是 Trent 可 能 会 成 为 瓶颈 。 他 必须 参与 每 一 次 密 钥 交换 。 如 果 Trent 失败 
了 ， 这 个 系统 就 会 被 破坏 。 


3.1.2 公开 密 钥 密码 系统 的 密 钥 交 换 

基础 的 混合 密码 系统 曾 在 2. 5 节 中 讨论 过 。Alice 和 Bob 使 用 公开 密 钥 密 码 系 统 协商 会 
话 密 钥 ， 并 用 协商 的 会 话 密 钥 加 密 数 据 。 在 一 些 实际 的 实现 中 ，Alice 和 Bob 签名 的 公开 密 
钥 可 在 数据 库 中 获得 。 这 使 得 密 钥 交 换 协 议 更 容易 ， 即 使 Bob 从 来 没有 听 说 过 Alice，Alice 
也 能 够 把 消息 安全 地 发 送 给 Bob。 

(1) Alice 从 KDC 得 到 Bob 的 公开 密 钥 。 

(2) Alice 产生 随机 会 话 密 铀 ， 用 Bob 的 公开 密 钥 加 密 它 ， 然 后 将 它 传 给 Bob, 

(3) Bob 用 他 的 私人 密 钥 解密 Alice 的 消息 。 

(4) 两 人 用 同一 会 话 密 钥 对 他 们 的 通信 进行 加 密 。 


3.1.3 中 间 人 攻击 
Eve 除了 试图 破译 公开 密 钥 算法 或 者 尝试 对 密 文 进行 唯 密 文 攻击 之 外 ， 没 有 更 好 的 办 
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法 。Mallory 比 Eve 更 有 能 力 ， 他 不 仅 能 监听 Alice 和 Bob 之 间 的 消息 ， 还 能 修改 、 删 除 消 
息 ， 并 能 产生 全 新 的 消息 。 当 Mallory 同 Alice 谈话 时 ， 他 能 模仿 Bob， 他 也 能 模仿 Alice 同 
Bob 谈话 。 下 面 要 谈 的 是 这 种 攻击 是 怎样 生效 的 : 

(1) Alice 将 她 的 公开 密 钥 传送 给 Bob, Mallory 截取 这 个 密 钥 并 将 自己 的 公开 密 钥 传送 
给 Bob 。 

(2) Bob 将 他 的 公开 密 钥 传送 给 Alice。Mallory 截取 这 个 密 钥 并 将 自己 的 公开 密 钥 传送 
给 Alice。 

(3) 当 Alice 将 用 “Bob” 的 公开 密 钥 加 密 的 消息 传送 给 Bob AY, Mallory MME. HF 
消息 实际 上 是 用 Malloy 的 公开 密 钥 加 密 的 ， 所 以 他 就 用 自己 的 私人 密 钥 解密 ， 再 用 Bob 的 
公开 密 钥 对 消息 重新 加 密 ， 并 将 它 传送 给 Bob, 

(4) 当 Bob 将 用 “Alice” 的 公开 密 钥 加 密 的 消息 传送 给 Alice 时 ，Mallory RRE. H 
于 消息 实际 上 是 用 Mallory 自己 的 公开 密 钥 加 密 的 ， 所 以 他 用 自己 的 私人 密 钥 解密 消息 ， 再 
用 Alice 的 公开 密 钥 重新 加 密 ， 并 将 它 传送 给 Alice。 

即使 Alice 和 Bob 的 公开 密 钥 存储 在 数据 库 中 ， 这 种 攻击 也 是 可 行 的 。Mallory 能 够 截 
取 Alice 的 数据 库 查询 ， 并 用 自己 的 公开 密 钥 代替 Bob 的 公开 密 钥 。 对 于 Bob, ， 他 也 能 做 同 
样 的 事情 ， 用 自己 的 公开 密 钥 代 蔡 Alice 的 公开 密 钥 。 他 也 能 秘密 地 侵入 数据 库 ， 用 他 自己 
的 密 钥 代替 Alice 和 Bob 的 密 钥 。 接 下 来 他 就 简单 地 等 着 Alice 和 Bob 之 间 的 谈话 ， 然 后 截 
取 和 修改 消息 ， 他 成 功 了 ! 

中 间 人 攻击 (man-in-the-middle attack) 是 可 行 的 ， 因 为 Alice 和 Bob 无 法 验证 他 们 之 
间 的 交谈 。 假 设 Mallory 没有 导致 任何 值得 注意 的 网 络 延迟 ， 他 们 两 人 就 没有 办 法 知道 有 人 
正在 他 们 中 间 阅 读 他 们 自 认 为 是 秘密 的 消息 。 


3.1.4 连锁 协议 


由 Ron Rivest 和 Adi Shamir 发 明 的 连锁 协议 (interlock protocol) H?” 4 BH Ik Fla] A Ke 
击 的 好 办 法 。 下 面 是 这 个 协议 的 工作 过 程 : 

(1) Alice 将 她 的 公开 密 钥 传 送 给 Bob, 

(2) Bob 将 他 的 公开 密 钥 传送 给 Alice。 

(3) Alice 用 Bob 的 公开 密 钥 加 密 她 的 消息 ， 并 将 加 密 消 息 的 一 半 传 送 给 Bob. 

(4) Bob 用 Alice 的 公开 密 钥 加 密 他 的 消息 ， 并 将 加 密 消 息 的 一 半 传 送 给 Alice, 

(5) Alice 将 加 密 的 另 一 半 消 息 传送 给 Bob. 

(6) Bob 将 Alice 的 两 半 消 息 合 在 一 起 ， 并 用 他 的 私人 密 钥 解密 :Bob 将 他 加 密 的 男 一 
半 消 息 传送 给 Alice。 

(7) Alice 将 Bob 的 两 半 消 息 合 在 一 起 ， 并 用 她 的 私人 密 钥 解密 。 

这 里 重要 的 一 点 是 : 只 有 消息 的 一 半 。 没 有 另 一 半 ， 消 息 毫 无 用 处 。Bob 只 有 到 第 6) 
步 才能 读 Alice 的 消息 ，Alice 只 有 到 第 〈7) 步 才 能 读 Bob 的 消息 。 有 很 多 办 法 实现 它 : 

。 如 果 采 用 分 组 加 密 算 法 ， 每 个 分 组 的 一 半 “〈 例 如 ， 每 隔 一 位 ) 能 在 每 半 个 消息 中 发 送 。 

。 消息 的 解密 依赖 于 初始 化 向 量 (参见 9. 3 节 )， 初 始 化 向 量 可 以 在 消息 的 另 一 半 中 

。 首先 发 送 的 一 半 消 息 可 能 是 加 密 消 息 的 单 向 散 列 函数 (参看 2. 4 节 )， 并 且 加 密 消 息 

本 身 可 能 是 另 一 半 。 
为 了 了 解 这 样 做 是 怎样 给 Mallory 制造 麻烦 的 ， 让 我 们 再 看 看 他 破坏 协议 的 企图 。 他 仍 
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然 能 够 在 第 O 步 和 第 2) 步 中 用 自己 的 公开 密 钥 代替 Alice 和 Bob 的 公开 密 钥 。 但 现 
在 ， 当 他 在 第 (3) 步 截 取 Alice 的 一 半 消 息 时 ， 他 不 能 用 他 的 私人 密 钥 对 消息 解密 ， 然 后 
用 Bob 的 公开 密 钥 再 加 密 。 他 不 得 不 虚构 一 条 完全 不 同 的 新 消息 ， 并 将 它 的 一 半 发 送 给 
Bob。 当 他 在 第 (4) 步 截取 Bob 给 Alice 的 一 半 消 息 时 ， 他 有 同样 的 问题 ， 他 不 能 用 他 的 私 
人 密 钥 解密 ， 并 用 Alice 的 公开 密 钥 再 加 密 ， 他 又 不 得 不 虚构 一 条 完全 不 同 的 新 消息 ， 并 将 
它 的 一 半 发 送 给 Alice。 当 他 在 第 O 步 和 第 (6) 步 截取 到 实际 消息 的 另 一 半 时 ， 他 再 去 
把 他 虚构 的 新 消息 改 回 来 就 太 迟 了 。Alice 和 Bob 之 间 的 会 话 必定 是 完全 不 同 的 。 

Mallory 也 可 以 不 用 这 种 办 法 。 如 果 他 非常 了 解 Alice 和 Bob， 他 就 可 以 模仿 他 们 之 中 
的 一 个 同 男 一 人 通话 ， 他 们 绝 不 会 想到 正在 受到 欺骗 。 但 这 样 做 肯定 比 坐 在 他 们 之 间 截 取 和 
阅读 他 们 的 消息 更 难 。 


3.1.5 使 用 数字 签名 的 密 钥 交换 


在 会 话 密 钥 交换 协议 期 间 采 用 数字 签名 也 能 防止 中 间 人 攻击 。Trent 对 Alice 和 Bob 的 
公开 密 钥 签名 。 签 名 的 密 钥 包括 一 个 已 签名 的 所 有 权证 书 。 当 Alice 和 Bob 收 到 密 钥 时 ， 他 
们 每 人 都 能 验证 Trent 的 签名 。 现 在 ， 他 们 就 知道 公开 密 钥 是 哪个 人 的 。 密 钥 的 交换 就 能 进 
‘TT x 

Mallory 会 遇 到 严重 的 阻力 。 他 不 能 假冒 Bob 或 者 Alice， 因 为 他 不 知道 他 们 的 私人 密 
钥 。 他 也 不 能 用 他 的 公开 密 钥 代 蔡 他 们 两 人 的 公开 密 钥 ， 因 为 当 他 有 由 Trent 签名 的 证 书 
时 ， 这 个 证 书 是 为 Mallory 签发 的 。 他 所 能 做 的 事情 就 是 窃听 往来 的 加 密 消息 ， 或 者 破坏 通 
信和 线路， 阻止 Alice 和 Bob 谈话 。 

这 个 协议 也 动用 了 Trent， 但 KDC 遭受 损害 的 风险 比 第 一 种 协议 小 。 如 果 Mallory 危及 
Trent 的 安全 ZA KDC)， 他 所 得 到 的 只 是 Trent 的 私人 密 钥 。 这 个 密 钥 使 他 仅 能 对 新 的 
密 钥 签名 ， 而 不 会 让 他 对 任何 会 话 密 钥 解密 ,或 者 读 取 任 何 消息 。 为 了 能 够 读 往来 的 消息 ， 
Mallory 不 得 不 冒充 网 络 上 的 某 个 用 户 ， 并 且 其 骗 合 法 用 户 用 他 的 假 公 开 密 钥 加 密 消 息 。 

Mallory 能 够 发 起 这 种 攻击 。 持 有 Trent WEA RH, A fE TOA RN SH RE 
Alice 和 Bob。 然 后 Mallory 就 能 够 在 数据 库 中 交换 他 们 真正 的 签名 密 钥 ， 或 者 截取 用 户 向 
数据 库 的 请 求 ， 并 用 他 的 假 密 钥 代替 。 这 使 他 能 够 发 起 中 间 人 攻击 ， 并 读 取 他 人 的 通信 。 

这 种 攻击 是 可 行 的 ， 但 记 住 Mallory 必须 能 够 截取 和 修改 消息 。 在 一 些 网 络 中 ， 截 取 和 
修改 消息 比 被 动 地 坐 在 网 络 旁 读 取 往 来 的 消息 更 难 。 在 广播 信道 上 ， 如 无 线 网 ， 几 乎 不 可 能 
用 其 他 消息 来 蔡 代 某 个 消息 〈 整 个 网 络 可 能 被 堵塞 )。 在 计算 机 网 络 中 做 这 种 事 更 容易 些 ， 
并 且 随 着 时 间 的 推移 变 得 越 来 越 容易 ， 例 如 IP 欺骗 、 路 由 攻击 等 。 主 动 攻击 并 不 一 定 表示 
有 人 用 数据 显示 仪 抠 出 数据 ， 且 也 不 限于 三 字符 的 代理 。 


3.1.6 密 钥 和 消息 传输 


Alice 和 Bob 在 交换 消息 前 不 需要 完成 密 钥 交 换 协 议 。 在 下 面 的 协议 中 ，Alice 在 没有 任 
何以 前 密 钥 交换 协议 的 情况 下 ， 将 消息 M 传送 给 Bob: 

(1) Alice 产生 随机 会 话 密 钥 K， 并 用 K 加 密 M: Ex(M)。 

(2) Alice 从 数据 库 中 得 到 Bob 的 公开 密 钥 。 

(3) Alice 用 Bob 的 公开 密 钥 加 密 K: Es(K)。 

(4) Alice 将 加 密 的 消息 和 加 密 的 会 话 密 钥 传送 给 Bob: Ex(M), Es(K)。 

为 了 增加 安全 性 ， 防 止 中 间 人 攻击 ，Alice 可 对 传输 签名 。 
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(5) Bob 用 他 的 私人 密 钥 将 Alice 的 会 话 密 钥 K 解密 。 

(6) Bob 用 会 话 密 钥 将 Alice 的 消息 解密 。 

这 个 混合 系统 表示 ， 公 开 密 钥 密 码 是 怎样 经 常用 于 通信 系统 的 。 它 可 以 和 数字 签名 、 时 
间 标 记 以 及 任何 其 他 安全 协议 组 合 在 一 起 使 用 。 


3.1.7 密 钥 和 消息 广播 


没有 理由 认为 Alice 不 会 把 加 密 的 消息 传送 给 多 个 人 。 在 这 个 例子 中 ，Alice 就 把 加 密 
的 消息 传送 给 Bob、Carol 和 Dave: 

(1) Alice 产生 随机 会 话 密 钥 KK， 并 用 K 加 密 消息 M: Ex(M), 

(2) Alice 从 数据 库 中 得 到 Bob, Carol 和 Dave 的 公开 密 钥 。 

(3) Alice 用 Bob 的 公开 密 钥 加 密 K, H Carol 的 公开 密 钥 加 密 K, H Dave HAA RH 
mÆ K: Es(K), Ec(K), Ep(K). 

(4) Alice 广播 加 密 的 消息 和 所 有 加 密 的 密 钥 ,将 它 传送 给 要 接收 它 的 人 : Es (K)， 
Ec(K), Ep(K), Exr(M), 

(5) 只 有 Bob, Carol 和 Dave 能 用 他 们 的 私人 密 钥 将 K 解密 。 

(6) 只 有 Bob, Carol 和 Dave 能 用 将 Alice 的 消息 解密 。 

这 个 协议 可 以 在 存储 转发 网 络 上 实现 。 中 央 服 务 器 能 够 将 Alice 的 消息 ， 连 同 特别 加 密 
的 密 钥 一 起 转发 给 Bob, Carol 和 Dave。 服 务 器 不 一 定 是 安全 的 或 者 可 信 的 ， 因 为 它 不 可 能 
对 任何 消息 解密 。 


3.2 鉴别 

当 Alice 登录 计算 机 (或 自动 柜员 机 、 电 话 银行 系统 或 其 他 的 终端 类 型 ) 时 ， 计 算 机 怎 
么 知道 她 是 谁 呢 ? 计算 机 怎么 知道 她 不 是 由 其 他 人 冒充 的 呢 ? 传统 的 办 法 是 用 口令 来 解决 这 
个 问题 的 。Alice 先 输入 她 的 口令 ， 然 后 计算 机 确认 它 是 正确 的 。Alice 和 计算 机 两 者 都 知道 
这 个 口令 ，Alice 每 次 登录 时 ， 计 算 机 都 要 求 Alice 输入 口令 。 


3.2.1 使 用 单 向 函数 鉴别 


Roger Needham 和 Mike Guy 意识 到 计算 机 没有 必要 知道 口令 。 计 算 机 只 需 有 能 力 区 别 
有 效 口 令 和 无 效 口令 。 这 种 办 法 很 容易 用 单 向 函数 来 实现 ”34421 。 计算 机 存储 口令 的 
单 向 函数 而 不 是 存储 口令 。 

(1) Alice 将 她 的 口令 传送 给 计算 机 。 

(2) 计算 机 完成 口令 的 单 向 函数 计算 。 

(3) 计算 机 把 单 向 函数 的 运算 结果 与 它 以 前 存储 的 值 进行 比较 。 

由 于 计算 机 不 再 存储 每 人 的 有 效 口令 表 ， 所 以 某 些 人 侵入 计算 机 并 偷 取 口 令 的 威胁 就 减 
少 了 。 由 口令 的 单 向 函数 产生 的 口令 表 是 没 用 的 ， 因 为 单 向 函数 不 可 能 逆向 恢复 口令 。 


VY 


3.2.2 字典 式 攻击 和 salt 


用 单 向 函数 加 密 的 口令 文件 还 是 很 脆弱 的 。Mallory 在 业余 时 间 编 制 了 100 万 个 最 常用 
的 口令 表 ， 他 用 单 向 函数 对 所 有 100 万 个 口令 进行 运算 ， 并 将 结果 存储 。 如 果 每 个 口令 大 约 
是 8 字 节 ， 运 算 结 果 的 文件 不 会 超过 8MB， 几 张 软盘 就 能 存 下 。 现 在 Mallory 偷 出 加 密 的 口 
令 文件 ， 将 它 与 自己 可 能 的 口令 文件 进行 比较 ， 再 观察 哪个 能 匹配 。 
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这 就 是 字典 式 攻击 (dictionary attack)， 它 的 成 功率 令 人 吃惊 (参见 8. 1 节 )。salt 是 使 
这 种 攻击 更 困难 的 一 种 方法 。salt 是 一 个 随机 字符 串 ， 它 与 口令 连接 在 一 起 ， 再 用 单 向 函数 
对 其 运算 。 然 后 将 salt 值 和 单 向 函数 运算 的 结果 存 人 主机 数据 库 中 。 如 果 可 能 的 salt 值 的 数 
目 足 够 大 的 话 ， 它 实际 上 就 消除 了 对 常用 口令 采用 的 字典 式 攻 击 ， 因 为 Mallory 不 得 不 产生 
每 个 可 能 的 salt 值 的 单 向 散 列 值 。 这 是 初始 化 向 量 的 简单 尝试 (参见 9. 3 节 ) 。 

这 里 的 关键 是 确信 当 Mallory 试图 破译 其 他 人 的 口令 时 ， 他 不 得 不 每 次 试验 字典 里 每 个 
口令 的 加 密 ， 而 不 是 只 对 可 能 的 口令 进行 大 量 的 预先 计算 。 

许多 salt 是 必需 的 。 大 多 数 UNIX 系统 仅 使 用 12 位 的 salt。 即 使 那样 ，Danid Klein JF 
发 了 一 个 猜测 口令 的 程序 ， 在 大 约 一 星期 里 ， 经 常 能 破译 出 一 个 给 定 系统 中 40% 的 口 
Ay (847.848) (参见 8.1 节 )。David Feldmeier 和 Philip Karn 编辑 了 大 约 732 000 个 常用 的 口令 
表 ， 表 中 的 口令 与 4096 个 可 能 的 salt 值 中 的 每 个 值 都 有 联系 。 采 用 这 张 表 ， 他 们 估计 在 给 
定 系统 中 ， 大 约 能 够 破译 出 30%% 的 口令 后) 。 

salt 不 是 万 灵 药 ， 增 加 salt 的 位 数 不 能 解决 所 有 问题 。 它 只 能 防止 对 口令 文件 采用 的 一 
般 的 字典 式 攻 击 ， 不 能 防止 对 单个 口令 的 联合 攻击 。 在 不 同 机 器 上 采用 相同 口令 的 人 使 人 难 
以 理解 ， 因 为 这 样 做 并 不 比 拙劣 选用 的 口令 更 好 。 


3.2.3 SKEY 


SKEY 是 一 种 鉴别 程序 ， 它 依赖 于 单 向 函数 的 安全 性 。 这 很 容易 理解 。 

为 了 设置 系统 ，Alice 输入 随机 数 尺 ， 计 算 机 计算 fCR)、f/(f(R))、f(f(f(R))) 等 大 
约 100 次 。 调 用 xz，xz，Zx3，…，Zziwm 这 些 数 。 计 算 机 输出 这 些 数 的 列表 ，Alice 把 这 些 数 
放 入 口袋 妥善 保管 ， 计 算 机 也 顺利 地 在 登录 数据 库 中 Alice 的 名 字 后 面 存储 zio 的 值 。 

当 Alice 第 一 次 登录 时 ， 她 输入 她 的 名 字 和 zioe 。 计 算 机 计算 f(xioo)， 并 把 它 和 zio E 
较 ， 如 果 它 们 匹配 ， 那 么 证 明 Alice 身份 是 真 的 。 然 后 ， 计 算 机 用 zi 代替 数据 库 中 的 to 。 
Alice 将 从 她 的 列表 中 取消 2100 。 

Alice 每 次 登录 时 ， 都 输入 她 的 列表 中 未 取消 的 最 后 数 x;。 计 算 机 计算 fa), FFM 
储 在 数据 库 中 的 r 比较 。 因 为 每 个 数 只 用 一 次 ， 并 且 这 个 函数 是 单 向 的 ， 所 以 Eve 不 可 能 
得 到 任何 有 用 的 消息 。 同 样 ， 数 据 库 对 攻击 者 也 毫 无 用 处 。 当 然 ， 当 Alice 用 完了 她 的 列表 
上 的 数 后 ， 她 必须 重新 初始 化 系统 。 


3.2.4 使 用 公开 密 钥 密码 系统 鉴别 

即使 使 用 salt， 第 一 个 协议 仍 有 严重 的 安全 问题 。 当 Alice 将 她 的 口令 发 送 给 主机 时 ， 
能 够 进入 她 的 数据 通道 的 任何 人 都 可 读 取 她 的 口令 。 可 以 通过 迁 回 的 传输 路 径 〈 经 过 四 家 竞 
争 对 手 、 三 个 国家 和 两 个 思想 激进 的 大 学 ) 访问 她 的 主机 ， 在 任何 一 点 Eve 都 有 可 能 窃听 
Alice 的 登录 序列 。 如 果 Eve 可 以 存 取 主机 的 处 理 器 内 存 ， 那 么 在 主机 对 口令 进行 散 列 计算 
前 ，Eve 都 能 够 看 到 口令 。 

公开 密 钥 密码 能 解决 这 个 问题 。 主 机 保存 每 个 用 户 的 公开 密 钥 文件 ， 所 有 用 户 保存 自己 
的 私人 密 钥 。 这 里 是 对 协议 的 简单 攻击 。 登 录 时 ， 协 议 按 下 面 进行 ， 

(1) 主机 发 送 一 个 随机 字符 串 给 Alice, 

(2) Alice 用 她 的 私人 密 钥 对 此 随机 字符 串 加 密 ， 并 将 此 字符 串 和 她 的 名 字 一 起 传送 回 主机 。 

(3) 主机 在 数据 库 中 查找 Alice 的 公开 密 钥 ， 并 用 公开 密 钥 解 密 。 

(4) 如 果 解 密 后 的 字符 串 与 主机 在 第 一 步 中 发 送 给 Alice 的 字符 串 匹 配 ， 则 允许 Alice 
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访问 系统 。 

没有 其 他 人 能 访问 Alice 的 秘密 密 钥 ， 因 此 不 可 能 有 任何 人 冒充 Alice。 更 重要 的 是 ， 
Alice 决 不 会 在 传输 线路 上 将 她 的 私人 密 钥 发 送 给 主机 。 窃 听 这 个 交互 过 程 中 的 Eve， 不 可 
能 得 到 任何 消息 使 她 能 够 推导 出 Alice 的 私人 密 钥 并 冒充 Alice。 

私人 密 钥 既 长 又 难 记 ， 它 可 能 是 由 用 户 的 硬件 或 通信 软件 自动 处 理 的 。 这 就 需要 一 个 
Alice 信任 的 智能 终端 ， 但 主机 和 通信 线路 都 不 必 是 安全 的 。 

对 任意 字符 串 进 行 加 密 是 愚蠢 的 ， 这 些 字符 串 不 仅 包 括 由 不 可 信 的 第 三 方 发 送 的 ， 而 且 
还 包括 在 任何 环境 下 发 送 的 。 对 此 可 以 采用 类 似 19. 3 节 中 讨论 的 攻击 。 安 全 的 身份 证 明 协 
议 可 采用 下 面 更 复杂 的 形式 : 

(1) Alice 根据 一 些 随机 数 和 她 的 私人 密 钥 进行 计算 ， 并 将 结果 传送 给 主机 。 

(2) 主机 将 一 个 不 同 的 随机 数 传送 给 Alice。 

(3) Alice 根据 这 些 随 机 数 〈 她 自己 产生 的 和 从 主机 接收 的 ) 和 她 的 私人 密 钥 进行 计算 ， 
并 将 结果 传送 给 主机 。 

(4) 主机 用 从 Alice 那里 接收 来 的 各 种 数据 和 Alice 的 公开 密 钥 进行 计算 ， 以 此 来 验证 
Alice 是 否 知道 自己 的 私人 密 钥 。 

G) 如 果 她 知道 ， 则 她 的 身份 就 被 证 实 了 。 

如 果 Alice 不 相信 和 主机， 就 像 主 机 不 相信 她 一 样 ， 那 么 Alice 将 要 求 主机 用 同样 方式 证 
实 其 身份 。 

步骤 (1) 是 不 必要 的 和 令 人 费解 的 ， 但 它 用 来 阻止 对 协议 的 攻击 。21.1 节 和 21. 2 节 
从 数学 上 描述 了 几 种 用 作 身 份 证 明 的 算法 和 协议 5 。 


3.2.5 使 用 连锁 协议 互相 鉴别 


Alice 和 Bob 是 想 要 互相 鉴别 的 两 个 用 户 。 他 们 每 人 都 有 一 个 对 方 知道 的 口令 : Alice 的 
H4# Pa, Bob 的 是 PE。 下 面 的 协议 是 行 不 通 的 : 

(1) Alice 和 Bob 交换 公开 密 钥 。 

(2) Alice 用 Bob 的 公开 密 钥 加 密 PA， 并 将 它 传送 给 Bob. 

(3) Bob 用 Alice 的 公开 密 钥 加 密 Ps, FEZA Alice, 

(4) Alice 解密 她 在 第 (2) 步 中 接收 到 的 消息 并 验证 它 是 正确 的 。 

(5) Bob 解密 他 在 第 (3) 步 中 接收 到 的 消息 并 验证 它 是 正确 的 。 

Mallory 能 够 成 功 发 起 中 间 人 攻击 (参见 3. 1 节 ): 

(1) Alice 和 Bob 交换 公开 密 钥 。Mallory 截取 这 两 个 消息 ， 他 用 自己 的 公开 密 钥 代替 
Bob 的 ， 并 将 它 发 送 给 Alice。 然 后 ， 又 用 他 的 公开 密 钥 代 替 Alice 的 ， 并 将 它 发 送 给 Bob。 

(2) Alice 用 “Bob” 的 公开 密 钥 对 Pa 加 密 ， 并 发 送 给 Bob, Mallory 截取 这 个 消息 ， 
用 他 的 私人 密 钥 对 Ps 解密 ， 再 用 Bob 的 公开 密 钥 加 密 ， 并 将 它 发 送 给 Bob, 

(3) Bob 用 “Alice” 的 公开 密 钥 对 Ps 加 密 ， 并 发 送 给 Alice。Mallory 截取 它 ， 用 他 的 
私人 密 钥 对 Ps 解密 。 再 用 Alice 的 公开 密 钥 对 它 加 密 ， 并 发 送 给 Alice。 

(4) Alice 对 Ps 解密 ， 并 验证 它 是 正确 的 。 

(5) Bob 对 Pa 解密 ， 并 验证 它 是 正确 的 。 

从 Alice 和 Bob 处 看 并 没有 什么 不 同 ， 然 而 Mallory 知道 Ps 和 了 Pa。 

Donald Davies 和 Wyn Price 描述 了 怎样 采用 连锁 协议 (在 3.1 节 中 描述 ) 来 挫败 这 种 
MAM), Steve Bellovin 和 Michael Merritt 讨论 了 对 这 个 协议 进行 攻击 的 各 种 方法 5 。 如 
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果 Alice 是 用 户 ，Bob 是 主机 ，Mallory 可 以 假装 是 Bob， 和 Alice 一 起 完成 协议 的 开始 几 
步 ， 然 后 终止 连接 。 真 实 的 技巧 要 求 Mallory 通过 模拟 线路 噪声 或 网 络 失败 来 终止 连接 ， 但 
最 终 的 结果 是 Mallory 有 Alice 的 口令 。 然 后 ， 他 可 以 和 Bob 连接 ， 完 成 协议 。Mallory 也 
就 有 Bob 的 口令 了 。 

假如 用 户 的 口令 比 主 机 的 口令 更 敏感 ， 那 么 就 可 以 修改 这 个 协议 ， 在 Alice 给 出 她 的 口 
令 之 前 ， 让 Bob 先 给 出 他 的 口令 。 这 导致 了 一 个 更 加 复杂 的 攻击 ， 文 献 L[110] 中 有 此 描述 。 


3.2.6 SKID 


SKID2 和 SKID3 是 为 RACE 的 RIPE 项 目 开 发 的 对 称 密 码 识别 协议 ”I (参见 25.7 
节 )。 它 们 都 用 MAC (参见 2. 4 节 ) 来 提供 安全 性 ， 并 且 这 两 个 协议 都 假设 Alice 和 Bob 共 
享 同一 个 秘密 密 钥 K. 

SKID2 允许 Bob 向 Alice 证 明 他 的 身份 。 下 面 是 这 个 协议 : 

(1) Alice 选用 随机 数 Ra (RIPE 文件 规定 的 64 位 数 )， 并 将 它 发 送 给 Bob, 

(2) Bob 选用 随机 数 Ra (RIPE 文件 规定 的 64 位 数 )， 并 将 Rs A Ax (Ra, Rs, B) 发 
送 给 Alice。 其 中 Hx 是 MAC (RIPE 文件 建议 的 RIPE-MAC 函数 ， 人 参见 18. 14 节 ) 。 

(3) Alice 计算 Hx (Ra。，Rs，B)， 并 将 它 与 从 Bob 那里 接收 到 的 消息 比较 。 如 果 结 果 
一 致 ， 那 么 Alice 知道 她 正 与 Bob 通信 。 

SKID3 提供 Alice 和 Bob 之 间 的 相互 鉴别 。 第 (1) ~ (3) 步 与 SKID2 一 样 ， 以 后 的 
协议 按 下 面 进行 : 

(4) Alice 将 Hx (Rs，A) 发 送 给 Bob。 

(5) Bob 计算 Hx (Rs，A)， 并 将 它 与 从 Alice 那里 收 到 的 消息 比较 。 如 果 相 同 ， 那 么 
Bob 知道 他 正 与 Alice 通信 。 

这 个 协议 对 中 间 人 攻击 来 说 是 不 安全 的 。 一 般 地 ， 中 间 人 攻击 能 够 击败 任何 不 包括 某 些 
秘密 的 协议 。 


3.2.7 消息 鉴别 


当 Bob 从 Alice 那里 接收 消息 时 ， 他 怎么 知道 消息 是 可 信 的 呢 ? 如 果 Alice 对 她 的 消息 
签名 ， 就 容易 了 。Alice 的 签名 足以 使 任何 人 都 相信 消息 是 可 信 的 。 

对 称 密码 学 提供 了 一 些 鉴别 。 当 Bob 从 Alice 那里 接收 到 用 他 们 的 共享 密 钥 加 密 的 消息 
时 ， 他 知道 消息 是 从 Alice 那里 来 的 ， 因 为 没有 其 他 人 知道 他 们 的 密 钥 。 然 而 ，Bob 没有 办 
法 使 第 三 者 相信 这 个 事实 ，Bob 不 可 能 把 消息 给 Trent 看 ， 并 使 他 相信 消息 是 从 Alice 那里 
来 的 。Trent 能 够 相信 消息 是 从 Alice 或 Bob 那里 来 的 (因为 没有 其 他 人 共享 他 们 的 秘密 密 
钥 ) ， 但 是 他 没有 办 法 知道 消息 到 底 是 从 谁 那里 来 的 。 

如 果 消 息 没 有 被 加 密 ，Alice 也 能 使 用 MAC。 这 也 使 Bob 相信 消息 是 可 信 的 ， 但 与 对 
称 密码 学 的 解决 方法 有 同样 的 问题 。 


3.3 鉴别 和 密 钥 交换 

以 下 协议 综合 利用 密 钥 交换 和 鉴别 ， 解 决 了 一 般 的 计算 机 问题 : Alice 和 Bob 分 别 坐 在 
网 络 的 两 端 ， 他 们 想 安全 地 交谈 。 Alice 和 Bob 怎么 交换 秘密 密 钥 呢 ? 他 们 怎么 确信 自己 当 
时 正在 同 对 方 而 不 是 同 Mallory KER? 大 多 数 协议 假设 Trent 与 参与 者 双方 各 共享 一 个 不 
同 的 秘密 密 钥 ,并且 所 有 这 些 密 钥 在 协议 开始 前 都 在 适当 的 位 置 。 在 这 些 协议 中 使 用 的 符号 
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表 3-1 在 鉴别 和 密 钥 交换 协议 中 使 用 的 符号 















A Alice 的 名 字 随机 会 话 密 钥 

B Bob 的 名 字 L 生存 期 

Ea 用 Treat 和 Alice 共享 的 密 钥 加 密 Ta» Tp 时 间 标 记 

Ep 用 Trent 和 Bob 共享 的 密 钥 加 密 Ra, Rg 随机 数 ， 分 别 由 Alice 和 Bob 选择 
I 索引 号 


3.3.1 Wide-Mouth Frog 协议 


Wide-Mouth Frog HPN 2 可 能 是 最 简单 的 对 称 密 钥 管理 协议 ， 该 协议 使 用 一 个 可 信 
的 服务 器 。Alice 和 Beb 两 人 各 和 Trent 共享 一 个 秘密 密 钥 。 这 些 密 钥 只 用 于 密 钥 分 配 ， 而 
不 用 于 加 密 用 户 之 间 的 实际 消息 。 会 话 密 钥 只 通过 两 个 消息 就 从 Alice 传送 给 Bob: 

(1) Alice 将 时 间 标 记 Ta 连同 Bob 的 名 字 B 和 随机 会 话 密 钥 K 一 起 ， 用 她 和 Trent 共 
享 的 密 钥 对 整个 消息 加 密 。 她 将 加 密 的 消息 和 她 的 身份 A 一 起 发 送 给 Trent: A, Ea (Ta， 
Bs Ks 

(2) Trent 解密 Alice 发 来 的 消息 。 然 后 将 一 个 新 的 时 间 标 记 Ts 连同 Alice 的 名 字 和 随 
机 会 话 密 钥 一 起 ， 用 他 与 Bob 共享 的 密 钥 对 整个 消息 加 密 ， 并 将 它 发 送 给 Bob: Es(Ts， 
A, K). 

这 个 协议 最 重要 的 假设 是 Alice 完全 有 能 力 产 生 好 的 会 话 密 钥 。 请 记 住 ， 随 机 数 不 容易 
产生 ， 无 法 相信 Alice 能 够 做 好 这 件 事 。 


3. 3.2 Yahalom 协议 


在 这 个 协议 中 ，Alice 和 Bob 两 人 各 与 Trent 共享 一 个 秘密 密 钥 **。 

(1) Alice 将 她 的 名 字 与 随机 数 Ry 连接 在 一 起 ， 并 将 它 发 送 给 Bob: A, Ra. 

(2) Bob 将 Alice 的 名 字 、Alice 的 随机 数 、 他 自己 的 随机 数 Rs 一 起 用 他 和 Trent 共享 
的 密 钥 加 密 。 再 将 加 密 的 结果 和 Bob 的 名 字 一 起 发 送 给 Trent: B, Ex(A, Ra, Rp). 

(3) Trent 产生 两 个 消息 ， 第 一 个 消息 由 Bob 的 名 字 、 随 机 会 话 密 钥 K, Alice 的 随机 
数 和 Bob 的 随机 数组 成 ， 用 他 和 Alice 共享 的 密 钥 对 所 有 第 一 个 消息 加 密 ; 第 二 个 消息 由 
Alice 的 名 字 和 随机 会 话 密 钥 组 成 ， 用 他 和 Bob 共享 的 密 钥 加 密 ， 然 后 将 这 两 个 消息 发 送 给 
Alice: E,(B, K, Ra, Rg), Ep(A, K). 

(4) Alice 解密 第 一 个 消息 ， 提 取 K， 并 确认 R 的 值 与 她 在 C) 中 的 值 一 样 。Alice 
发 送 两 个 消息 给 Bob。 第 一 个 消息 是 从 Trent 那里 接收 到 的 用 Bob 的 密 钥 加 密 的 消息 ， 第 二 
个 是 用 会 话 密 钥 加 密 的 Re: Es(A, K),， Ex(Rs)。 

(5) Bob 用 他 的 密 钥 解 密 消 息 ， 提 取 K， 并 确认 Rs 与 他 在 (2) 中 的 值 一 样 。 

最 后 ，Alice 和 Bob 互相 确信 是 正在 同 对 方 谈话 ， 而 不 是 同 第 三 者 。 这 里 的 新 东西 是 : 
Bob 是 同 Trent 接触 的 第 一 人 ， 而 Trent 仅 向 Alice 发 送 一 次 消息 。 


3.3.3 Needham-Schroeder 协议 


这 个 协议 由 Roger Needham 和 Michael Schroeder 发 明 055 ， 也 采用 对 称 密码 术 和 Trent 。 
(1) Alice 将 由 她 的 名 字 A, Bob 的 名 字 B 和 随机 数 Ra 组 成 的 消息 传 给 Trent: A, 
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B, Ra. 

(2) Trent 产生 随机 会 话 密 钥 K。 他 用 与 Bob 共享 的 秘密 密 钥 对 随机 会 话 密 钥 OK 和 
Alice 名 字 组 成 的 消息 加 密 。 然 后 用 他 和 Alice 共享 的 秘密 密 钥 对 Alice 的 随机 值 、Bob 的 名 
字 、 会 话 密 钥 K 和 已 加 密 的 消息 进行 加 密 ， 最后， 将 加 密 的 消息 传送 给 Alice: Ea (Ra, B, 
K, Es(K, A)). 

(3) Alice 将 消息 解密 并 提取 K。 她 确认 R 与 她 在 第 (1) 步 中 发 送 给 Trent 的 一 样 。 
然后 她 将 Trent 用 Bob 的 密 钥 加 密 的 消息 发 送 给 Bob: Es(K, A). 

(4) Bob 对 消息 解密 并 提取 K， 然后 产生 男 一 个 随机 数 Ras。 他 用 K 加 密 它 并 将 它 发 送 
给 Alice: Ex (Rg). 

(5) Alice 用 KK 将 消息 解密 ， 产生 Rs 一 1 并 用 KK 对 它 加 密 ， 然 后 将 消息 发 回 给 Bob: 
Ex(Rg—1). 

(6) Bob 用 K 对 消息 解密 ， 并 验证 它 是 Rs 一 1。 

所 有 这 些 围绕 Rv. Rs 和 Rs 一 1 的 麻烦 用 来 防止 重 放 攻 击 (replay attack) 。 在 这 种 攻击 
中 ，Mallory 可 能 记录 旧 的 消息 ， 以 后 再 使 用 它们 以 达到 破坏 协议 的 目的 。 在 第 (2) 步 中 
R, 的 出 现 使 Alice 确信 Trent 的 消息 是 合法 的 ， 并 且 不 是 以 前 协议 的 重 放 。 在 第 (5) 步 中 ， 
当 Alice 成 功 地 解密 Rs 并 将 Rs 一 1 送 回 给 Bob 之 后 ，Bob 确信 Alice 的 消息 不 是 以 前 协议 
执行 的 重 放 。 

这 个 协议 的 主要 安全 漏洞 是 旧 的 会 话 密 钥 仍 有 价值 。 如 果 Mallory 可 以 存 取 旧 的 密 钥 
KK， 他 就 可 以 发 起 一 次 成 功 的 攻击 “1]。 他 所 做 的 全 部 工作 是 记录 Alice 在 第 (3) BREA 
Bob 的 消息 。 然 后 ,一 旦 他 有 K， 他 就 能 够 假装 是 Alice: 

(1) Mallory 发 送 给 Bob 下 面 的 消息 : Es (K，A)。 

(2) Bob 提取 K， 产 生 Rs， 并 发 送 给 Alice: Ex (Rg)。 

(3) Mallory 截取 此 消息 ， 用 K 对 它 解 密 ， 并 发 送 给 Bob: Ex(Rg—1). 

(4) Bob 验证 “Alice” 的 消息 是 Rs 一 1。 

MÆ, Mallory 成 功 地 使 Bob 确信 他 就 是 Alice T. 

一 个 使 用 时 间 标 记 的 更 强 的 协议 能 够 击败 这 种 攻击 "9 。 在 第 (2) 步 中 ， 将 时 间 标 
记 附 加 到 用 Bob 的 密 钥 加 密 的 Trent 的 消息 中 : Es (K，A，T)。 时 间 标 记 需 要 一 个 安全 和 
精确 的 系统 时 钟 ， 这 对 系统 本 身 来 说 不 是 一 个 普通 问题 。 

如 果 Trent 与 Alice 共享 的 密 钥 Ks WET. 后果 是 非常 严重 的 。Mallory 能 够 用 它 获 得 
F] Bob 交谈 的 会 话 密 钥 (或 他 想 要 交谈 的 其 他 任何 人 的 会 话 密 钥 )。 情 况 甚至 更 坏 ， 在 Alice 
更 换 她 的 密 钥 后 Mallory 还 能 够 继续 做 这 种 事情 。 

Needham 和 Schroeder 试图 在 他 们 的 协议 改进 版 本 中 改正 这 些 问题 ns 。 他 们 的 新 协议 
基本 上 与 发 表 在 同一 杂志 同一 期 上 的 Otway-Rees 协议 相同 。 


3.3.4 Otway-Rees 协议 


这 个 协议 也 是 使 用 对 称 密码 术 "**]。 

(1) Alice 产生 消息 ， 此 消息 包括 一 个 索引 号 IT、 她 的 名 字 A、Bob 的 名 字 B 和 随机 数 
Ra, MA Trent 共享 的 密 钥 对 此 消息 加 密 ， 并 将 索引 号 、 她 的 名 字 和 Bob 的 名 字 与 她 加 
密 的 消息 一 起 发 送 给 Bob: I, A, B, Es(Rs, I, A, B). 

(2) Bob 产生 消息 ， 此 消息 包括 一 个 新 的 随机 数 Re 、 索 引号 T、Alice 的 名 字 A 和 Bob 
的 名 字 B。 用 他 与 Trent 共享 的 密 钥 对 此 消息 加 密 。 并 将 Alice 的 加 密 消息 、 索 引号 、Alice 
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的 名 字 、Bob 的 名 字 与 他 加 密 的 消息 一 起 发 送 给 Trent: I, A, B, E,(Ra, I, A, B), Eg 
(Rus fx Ås BY 

(3) Trent 产生 随机 会 话 密 钥 K， 然 后 产生 两 个 消息 。 一 个 用 他 与 Alice 共享 的 密 钥 对 
Alice 的 随机 数 和 会 话 密 钥 加 密 ， 男 一 个 用 与 Bob 共享 的 密 钥 对 Bob 的 随机 数 和 会 话 密 钥 加 
密 。 他 将 这 两 个 消息 与 索引 号 一 起 发 送 给 Bob; I, Ex(Ra, K), Es(Rs, K). 

(4) Bob 将 用 Alice 的 密 钥 加 密 的 消息 连同 索引 号 一 起 发 送 给 Alice: T，EaACRA， 天 )。 

(5) Alice 解密 消息 ， 恢 复出 她 的 密 钥 和 随机 数 ， 然 后 确认 协议 中 的 索引 号 和 随机 数 都 
没有 改变 。 

假设 所 有 随机 数 都 匹配 ， 并 且 按 照 这 种 方法 索引 号 没有 改变 ，Alice 和 Bob 现在 相互 确 
认 对 方 的 身份 ， 他 们 就 有 一 个 用 于 通信 的 秘密 密 钥 。 


3. 3. 5 Kerberos 协议 


Kerberos 是 Needham-Schroeder 协议 的 变型 ， 将 在 24.5 节 中 详细 讨论 它 。 在 基本 的 
Kerberos 第 5 版 本 的 协议 中 ，Trent 和 Alice 每 人 与 Trent 各 共享 一 个 密 钥 。Alice 想 产 生 会 
话 密 钥 用 于 与 Bob 通信 : 

(1) Alice 将 她 的 名 字 A 和 Bob 的 名 字 B 发 送 给 Trent: A, B. 

(2) Trent 产生 消息 ， 该 消息 由 时 间 标 记 TT、 使 用 寿命 L、 随 机 会 话 密 钥 K 和 Alice 的 
名 字 构 成 。 他 用 与 Bob SEM AAR. Aa, HRN id, HAA. SRA 
和 Bob 的 名 字 ， 并 且 用 他 与 Alice 共享 的 密 钥 加 密 ， 并 把 这 两 个 加 密 消 息 发 给 Alice; 
E,y(T, Ls Ks BD» Eg(Ts La Ks Ad, 

(3) Alice 用 她 的 名 字 和 时 间 标 记 产 生 消 息 ， 并 用 天 对 它 进行 加 密 ， 将 它 发 送 给 Bob. 
Alice 也 将 从 Trent 那里 来 的 用 Bob 的 密 钥 加 密 的 消息 发 送 给 Bob: Erk(A，T)，Es(CT， 工 ， 
K, A). 

(4) Bob FA K 对 时 间 标 记 递 增 1 的 消息 进行 加 密 ， 并 将 它 发 送 给 Alice: Ex(T+1). 

这 个 协议 是 可 行 的 ， 但 它 假设 每 个 人 的 时 钟 都 与 Trent 的 时 钟 同步 。 实 际 上 ， 这 个 结果 
是 通过 把 时 钟 同步 到 一 个 安全 的 定时 服务 器 的 几 分 钟 之 内 ， 并 在 这 个 时 间 间 隔 内 检测 重 放 而 
获得 的 。 


3. 3.6 Neuman-Stubblebine 协议 


不 管 是 由 于 系统 缺陷 还 是 由 于 破坏 ， 时 钟 可 能 变 得 不 同步 。 如 果 时 钟 不 同步 ， 这 些 协议 
的 大 多 数 都 可 能 受到 攻击 "“] 。 如 果 发 送 者 的 时 钟 比 接收 者 的 时 钟 超前 ，Mallory 就 能 够 截 
取 从 发 送 者 来 的 消息 ， 当 时 间 标 记 变 成 接收 者 站 点 当前 时 间 时 ，Mallory 重 放 消 息 。 这 种 攻 
击 叫 做 隐瞒 重 放 (suppress-replay)， 并 有 使 人 气愤 的 结果 。 

这 个 协议 首先 在 L820」 中 提出 ， 并 在 [1162] 中 改进 以 试图 反击 这 种 隐瞒 攻击 。 它 是 
Yahalom 协议 的 增强 ， 是 一 个 非常 好 的 协议 : 

(1) Alice 把 她 的 名 字 和 随机 数 一 起 发 送 给 Bob: A, Ra. 

(2) Bob 把 Alice 的 名 字 连 同 她 的 随机 数 以 及 一 个 时 间 标 记 一 起 ， 用 他 与 Trent 共享 的 
密 钥 加 密 ， 并 把 加 密 的 结果 、 他 的 名 字 和 一 个 新 的 随机 数 一 起 发 给 Trent: B, Ry, Epl, 
Ra, Ts). 

(3) Trent 产生 随机 会 话 密 钥 ， 然 后 产生 两 个 消息 ， 第 一 个 消息 由 Bob 的 名 字 、Alice 
的 随机 数 、 随 机 会 话 密 钥 和 时 间 标 记 组 成 ， 所 有 这 些 消息 用 他 与 Alice 共享 的 密 钥 加 密 ; 第 
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二 个 消息 由 Alice 的 名 字 、 会 话 密 钥 和 时 间 标 记 组 成 ， 所 有 这 些 消 息 用 他 与 Bob 共享 的 密 钥 
加 密 。 他 将 这 两 个 消息 和 Bob 的 随机 数 一 起 发 送 给 Alice: Ea (B, Ras K, Tg), Eg (A, 
Ky Toje Ris 

(4) Alice 解密 用 她 的 密 钥 加 密 的 消息 ， 提 取 密 钥 K， 并 确认 R 与 她 在 第 (1) 步 中 的 
值 相同 。Alice 发 送 给 Bob 两 个 消息 ， 第 一 个 是 从 Trent 那里 接收 的 用 Bob 的 密 钥 加 密 的 消 
息 ; 第 二 个 是 用 会 话 密 钥 K 加 密 的 Rs: Es(A, K, Tg), Ex(Rs)。 

(5) Bob 解密 用 他 的 密 钥 加 密 的 消息 ， 提 取 密 钥 K， 并 确认 Ts 和 Rs 与 〈2) 中 的 值 相 同 。 

假设 随机 数 和 时 间 标 记 都 匹配 ，Alice 和 Bob 就 会 相信 对 方 的 身份 ， 并 共享 一 个 秘密 密 
钥 。 因 为 时 间 标 记 只 是 相对 于 Bob 的 时 间 ， 所 以 不 需要 同步 时 钟 ，Bob 只 检查 他 自己 产生 的 
时 间 标 记 。 

这 个 协议 的 好 处 是 : 在 某 些 预先 确定 的 时 间 内 ，Alice 能 够 用 从 Trent 那里 接收 的 消息 
与 Bob 做 后 续 的 鉴别 。 假 设 Alice 和 Bob 完成 了 上 面 的 协议 和 通信 ， 然 后 终止 连接 ，Alice 
和 Bob 也 不 必 依 赖 Trent， 就 能 够 在 3 步 之 内 重新 鉴别 : 

(1) Alice 将 Trent 在 上 述 (3) 中 发 给 她 的 消息 和 一 个 新 的 随机 数 发 送 给 Bob: Re(A， 
K, Tije Rho 

(2) Bob 发 送 给 Alice 另 一 个 新 的 随机 数 ， 并 且 Alice 的 新 随机 数 用 他 们 的 会 话 密 钥 加 
密 : Rb，Ex (Ra)。 

(3) Alice 用 他 们 的 会 话 密 钥 加 密 Bob 的 新 随机 数 ， 并 把 它 发 给 Bob: Ex (Rs)。 

新 随机 数 防止 了 重 放 攻 击 。 


3.3.7 DASS 协议 


分 布 式 鉴别 安全 协议 (Distributed Authentication Security Service, DASS) 是 由 数字 
设备 公司 开发 的 ， 它 也 提供 相互 鉴别 和 密 钥 交换 929 。 与 前 面 的 协议 不 同 ，DASS 协 
议 同 时 使 用 了 公开 密 钥 和 对 称 密码 术 。Alice 和 Bob 每 人 有 一 个 私人 密 钥 ，Trent 有 他 们 公 
开 密 钥 签 名 的 副本 。 

(1) Alice 发 送 消息 给 Trent， 这 个 消息 由 Bob 的 名 字 组 成 : B。 

(2) Trent 把 Bob 的 公开 密 钥 Ks 发 给 Alice， 并 用 自己 的 私人 密 钥 工 签名 。 签 名 消息 
包括 Bob 的 名 : Sr(B, Kz). 

(3) Alice 验证 Trent 的 签名 以 确认 她 接收 的 密 钥 确 实 是 Bob 的 公开 密 钥 。 她 产生 随机 
会 话 密 钥 K 和 公开 密 钥 / 私 人 密 钥 对 Kp, WH K 加 密 时 间 标 记 ， 然 后 用 她 的 私人 密 钥 Ka 
SRAM ARAL. mie Kp 签名 。 最 后 ， 她 用 Bob 的 公开 密 钥 K 加 密 ， 并 用 Kp 
签名 。 她 将 所 有 这 些 消 息 发 给 Bob: Ex (T,), Sk, (L, A, Kp), Sx, (Ex, (KD). 

(4) Bob 发 送 消息 给 Trent (这 可 能 是 另 一 个 Trent)， 它 由 Alice WH FAM: A. 

(5) Trent 把 Alice 的 公开 密 钥 Ks 发 送 给 Bob， 并 用 自己 的 私人 密 钥 TBA. SAW 
息 包括 Alice 的 名 字 : SrA, Ka). 

(6) Bob 验证 Trent 的 签名 以 确认 他 接收 的 密 钥 确 实 是 Alice 的 公开 密 钥 。 然 后 他 验证 
Alice 的 签名 并 恢复 Kp。。 他 验证 签名 并 用 他 的 私人 密 钥 恢复 K。 然 后 解密 Ta 以 确信 这 是 当 
前 的 消息 。 

(7) 如 果 需 要 相互 鉴别 ，Bob 用 K 加 密 新 的 时 间 标 记 ， 并 把 它 送 给 Alice: Ex (Ty). 

(8) Alice 用 K 解密 Ts 以 确信 消息 是 当前 的 。 

DEC 公司 的 SPX 产品 基于 DSSA 鉴别 协议 。 其 他 信息 可 在 [34] 中 找到 。 
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3.3.8 Denning-Sacco 协议 


这 个 协议 也 使 用 公开 密 钥 密码 "J 。Trent 保存 每 个 人 的 公开 密 钥 数据 库 。 

(1) Alice 发 送 一 个 有 关 她 和 Bob 名 字 的 消息 给 Trent: A, B. 

(2) Trent 把 用 自己 的 私人 密 钥 工 签名 的 Bob 的 公开 密 钥 Ks 发 给 Alice， 同 时 也 把 用 
自己 的 私人 密 钥 工 签名 的 Alice 的 公开 密 钥 Ka 发 给 Alice: Sr(B, Ks), Sr(A, Ka). 

(3) Alice 向 Bob 传送 随机 会 话 密 钥 、 时 间 标 记 (都 用 她 自己 的 私人 密 钥 签 名 并 用 Bob 
的 公 钥 加 密 ) 和 两 个 签名 的 公开 密 钥 : Es (SA(K,，T4)),， StB, Kg), Sr(A, Ka). 

(4) Bob 用 他 的 私人 密 钥 解密 Alice 的 消息 ， 然 后 用 Alice 的 公开 密 钥 验证 她 的 签名 。 
他 检查 以 确信 时 间 标 记 仍 有 效 。 

这 里 Alice 和 Bob 两 人 都 有 密 钥 ， 他 们 能 够 安全 地 通信 。 

这 看 起 来 很 好 ， 但 实际 不 是 这 样 的 。 在 和 Alice 一 起 完成 协议 后 ，Bob 能 够 伪装 是 Alice” 。 
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注意 : 
(1) Bob 把 他 自己 和 Carol 的 名 字 发 给 Trent: B, C. 
(2) Trent 把 Bob 和 Carol 已 签名 的 公开 密 钥 发 给 Bob: S;(B, Kg), Sr(C, Ke). 
(3) Bob 将 以 前 从 Alice 那里 接收 的 会 话 密 钥 和 时 间 标 记 的 签名 用 Carol 的 公开 密 钥 加 密 ， 
并 与 Alice 和 Carol 的 证 书 一 起 发 给 Carol: Ec(S,C(K, Ta)), Sr(A, Ka), Sr(C, Ke). 

(4) Carol 用 她 的 私人 密 钥 解密 Alice 的 消息 ， 然 后 用 Alice 的 公开 密 钥 验 证 她 的 签名 。 
她 检查 以 确信 时 间 标 记 仍 有 效 。 

Carol 现在 认为 她 正在 与 Alice 交谈 ，Bob 成 功 地 欺骗 了 她 。 事 实 上 ， 在 时 间 标 记 截 止 
前 ，Bob 可 以 欺骗 网 上 的 任何 人 。 

这 个 问题 容易 解决 。 在 (3) 中 的 加 密 消 息 内 加 上 和 名字: Es(Sa(A, B, K, Ta)), Sr 
(A, Ka), Sr(B, Kz), 

这 样 就 清楚 地 表明 是 Alice 和 Bob 在 通信 ， 所 以 现在 Bob 就 不 可 能 对 Carol 重 放 旧 消息 。 


3. 3.9 Woo-Lam 协议 


这 个 协议 也 使 用 公开 密 钥 密 码 5 "7 , 

(1) Alice 发 送 一 个 有 关 她 和 Bob 名 字 的 消息 给 Trent: A, B, 

(2) Trent 用 他 的 私人 密 钥 T Xt Bob 的 公开 密 钥 签名 ， 然 后 把 它 发 给 Alice: Sr(Ks)。 

(3) Alice 验证 Trent 的 签名 ， 然 后 把 她 的 名 字 和 一 个 随机 数 用 Bob 的 公开 密 钥 加 密 ， 
并 把 它 发 给 Bob: Eg, (A, Ra). 

(4) Bob 把 他 的 名 字 、Alice 的 名 字 和 用 Trent 的 公开 密 钥 Kr 加 密 的 Alice 的 随机 数 一 
起 发 给 Trent: A, B, Ex, (Ra). 

(5) Trent 把 用 自己 的 私人 密 钥 签名 的 Alice 的 公开 密 钥 Ka 发 给 Bob， 同 时 用 私人 密 钥 
对 所 有 Alice 的 随机 数 、 随 机 会 话 密 钥 、Alice 的 名 字 和 Bob 的 名 字 签 名 并 用 Bob 的 公开 密 
钥 加 密 ， 并 把 它 也 发 给 Bob: Sr(KA)， Ex, (Sr(Ra, K, A, B)). 

(6) Bob 验证 Trent 的 签名 。 然 后 他 将 第 〈5) 步 中 Trent 消息 的 第 二 部 分 和 一 个 新 随 
机 数 一 起 用 Alice 的 公开 密 钥 加 密 ， 并 将 结果 发 给 Alice: Ex,(Sr(Ra,» K, A, B), Ra). 

(7) Alice 验证 Trent 的 签名 和 她 的 随机 数 。 然 后 她 将 第 二 个 随机 数 用 会 话 密 钥 K 加 
密 ， 并 发 给 Bob: Er CRs)。 

(8) Bob 解密 他 的 随机 数 ， 并 验证 它 没 有 改变 。 
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3.3.10 其 他 协议 

已 有 文献 中 有 许多 其 他 协议 。X. 509 协议 在 24.9 节 中 讨论 ，KryptoKnight 在 24.6 节 
中 讨论 ， 加密 密 钥 交换 在 22.5 节 中 讨论 。 

Kuperee ""! 是 一 个 新 的 公开 密 钥 协议 。 此 外 ， 有 关 使 用 信 标 Cbeacon) 的 协议 工作 也 正 
在 开展 ， 信 标 是 一 个 可 信 的 网 络 节点 ， 它 不 断 地 广播 已 鉴别 的 nonce[ 7 。 


3.3.11 学 术 上 的 教训 

在 以 上 的 协议 中 ， 那 些 被 破译 的 和 没有 被 破译 的 协议 都 有 一 些 重大 的 教训 : 

。 因为 设计 者 试图 设计 得 太 精 巧 ， 所 以 许多 协议 失败 了 。 他 们 通过 省 去 重要 的 部 分 : 
名 字 、 随 机 数 等 来 优化 他 们 的 协议 ， 但 矫 枉 过 正 了 "1 。 

。 试图 优化 绝对 是 一 个 可 怕 的 陷阱 ， 并 且 全 部 命运 依赖 于 你 所 做 的 假设 。 例 如 ， 如 果 
你 有 鉴别 的 时 间 ， 你 就 可 以 做 许多 你 没 去 做 也 做 不 到 的 事情 。 

。 选择 的 协议 依赖 于 底层 的 通信 体系 结构 。 你 难道 不 想 使 消息 的 大 小 和 数量 最 小 吗 ? 
所 有 人 ， 还 是 只 有 其 中 的 几 个 人 能 够 交谈 ? 

类 似 这 些 问 题 导致 了 协议 分 析 形 式 化 方法 的 开发 。 


3.4 鉴别 和 密 钥 交换 协议 的 形式 化 分 析 

在 网 络 上 的 一 对 计算 机 (和 人 ) 之 间 建 立 安全 的 会 话 密 钥 问题 是 如 此 的 重要 ， 以 至 于 引 
发 出 许多 研究 。 有 些 研究 着 重 开 发 协议 ， 例 如 开发 3.1 一 3. 3 节 中 讨论 的 那些 协议 。 这 又 导 
致 了 更 大 和 更 多 有 趣 的 问题 : 鉴别 和 密 钥 交 换 协 议 的 形式 化 分 析 。 在 提出 似乎 是 安全 的 协议 
之 后 ， 人 们 发 现 了 这 些 协 议 的 缺陷 ， 研 究 人 员 想 要 得 到 从 开始 就 能 证 明 协 议 安 全 性 的 各 种 工 
具 。 虽 然 很 多 这 种 工作 都 能 应 用 到 一 般 的 密码 协议 中 ， 但 是 研究 的 重点 却 训 无 例外 地 放 在 鉴 
别 和 密 钥 交换 上 。 

对 密码 协议 的 分 析 有 四 种 基本 途径 L"， 

(1) 使 用 规范 语言 和 验证 工具 建立 协议 模型 和 验证 协议 ， 它 不 是 特别 为 密码 协议 分 析 设 
计 的 。 

(2) 开发 专家 系统 ， 协 议 设计 者 能 够 用 它 来 调查 和 研究 不 同 的 情况 。 

(3) 用 分 析 知 识 和 信任 的 逻辑 ， 建 立 协议 族 的 需求 模型 。 

(4) 开发 形式 化 方法 ， 它 基于 密码 系统 的 代数 重 写 项 性 质 。 

关于 这 四 种 途径 的 详细 讨论 和 围绕 它们 的 研究 远 远 超出 了 本 书 的 范围 。 文 献 [1047、 
1355] 对 这 个 题目 做 了 很 好 的 介绍 。 这 里 只 简要 提 及 这 个 领域 的 主要 作用 。 

第 一 种 途径 把 密码 学 协议 与 其 他 计算 机 程序 同等 对 待 ， 并 试图 证 明 它 的 正确 性 。 有 些 研 
究 者 把 协议 表示 为 有 限 状 态 机 ”1 ， 有 些 人 使 用 一 阶 判 定 微 积分 5 ， 还 有 一 些 人 使 用 规 
范 语言 来 分 析 协 议 " "9 。 然 而 证 明正 确 性 与 证 明 安 全 性 不 同 ， 并 且 这 个 方法 对 于 发 现 许 多 缺 
陷 的 协议 来 说 是 行 不 通 的 。 虽 然 这 种 途径 最 早 被 广泛 研究 ， 但 这 个 领域 的 大 多 数 工作 已 经 转 
向 获得 普及 的 第 三 种 途径 。 

第 二 种 途径 是 使 用 专家 系统 来 确定 协议 是 否 能 达到 不 合乎 需要 的 状态 (例如 ， 密 钥 的 汇 
露 ) 。 虽 然 这 种 途径 能 够 更 好 地 识别 缺陷 ， 但 它 既 不 能 保证 安全 性 ， 又 不 能 为 开发 攻击 提供 
技术 。 它 的 好 处 在 于 决定 协议 是 否 包含 已 知 的 缺陷 ， 但 不 可 能 发 现 未 知 的 缺陷 。 这 种 途径 的 
例子 可 在 文献 [987、1521] 中 找到 。 文 献 [1092] 讨论 了 一 个 由 美国 军 方 开发 的 基于 规则 
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的 系统 ， 这 个 系统 叫做 询问 器 。 

第 三 种 途径 到 目前 为 止 是 最 流行 的 ， 它 是 由 Michael Burrows, Martin Abadi 和 Roger 
Needham 首先 发 明 的 。 为 了 进行 知识 和 信任 分 析 ， 他 们 开发 了 一 个 形式 化 逻辑 模型 ， 叫 做 
BAM i248 (BAM logic), BAM 逻辑 是 分 析 鉴 别 协议 时 最 广泛 应 用 的 逻辑 。 它 假设 鉴 

别 是 完整 性 和 新 鲜 度 的 末 数 ， 并 使 用 逻辑 规则 来 对 贯穿 协议 的 那些 属性 的 双方 进行 跟踪 。 虽 
然 已 经 提出 了 这 种 途径 的 许多 变化 和 扩展 ， 但 大 多 数 协 议 设 计 者 仍 在 引用 最 初 的 研究 。 
BAM 逻辑 并 不 提供 安全 性 证 明 ， 它 只 推出 鉴别 。 它 具有 易于 使 用 的 、 简 单 的 、 明 了 的 
逻辑 ， 对 于 发 现 缺 陷 仍 然 有 用 。BAM 逻辑 包括 以 下 一 些 命题 : 
Alice 相信 X (Alice 装 作 好 像 X 是 正确 的 ) 。 
Alice 看 X( 某 人 已 经 把 包含 X 的 消息 发 给 Alice,Alice 可 能 在 解密 消息 后 ,能 够 读 和 重复 X)。 
Alice 说 X( 在 某 一 时 间 ,Alice 发 送 包括 命题 X 的 消息 。 不 知道 消息 在 多 早 以 前 曾 被 发 送 过 ,或 者 在 协议 当 
前 运行 期 间 发 送 的 。 已 经 知道 , 当 Alice 说 X 时 ,Alice 相信 X)。 
X 是 新 的 (在 当前 运行 协议 以 前 的 任何 时 间 X 没有 把 消息 发 送出 去 ) 。 

BAM 逻辑 也 为 协议 中 有 关 信 任 推理 提供 规则 。 这 些 规则 能 饮 应 用 到 协议 的 逻辑 合 题 ， 
证 明 事 情 或 回答 有 关 协 议 的 问题 。 例 如 ， 消 息 内 涵 的 规则 是 : 

如 果 Alice 相信 Alice 和 Bob 共享 秘密 密 钥 K ,Alice 看 见 用 K 加 密 的 X, 而 Alice 没有 用 K 加 密 X, 那 么 

Alice 相信 Bob 曾经 说 过 Xo 

另 一 个 规则 是 随机 数 验 证 规则 (nonce-verification rule) : 

如 果 Alice 相信 X 只 在 最 近 被 发 送 ,并 且 Bob 曾经 说 过 X ,那么 Alice 就 认为 Bob 相信 Xo 


用 BAM 逻辑 进行 分 析 分 四 步 进行 : 

(1) 采用 以 前 描述 的 命题 ， 把 协议 转换 为 理想 化 形式 。 

(2) 加 上 有 关 协 议 初 始 状态 的 所 有 假设 。 

(3) 把 逻辑 公式 放 到 命题 中 : 在 每 个 命题 后 断言 系统 的 状态 。 

(4) 为 了 发 现 协议 各 方 持 有 的 信任 ， 运 用 逻辑 基本 原理 去 断言 和 假设 。 

BAM el “把 理想 化 的 协议 看 做 比 在 文献 中 发 现 传统 的 描述 更 清楚 和 更 完善 的 
规范 ……?5253284。 其 他 协议 没有 这 种 印记 ， 并 因为 这 个 步骤 不 可 能 正确 地 反映 实际 的 协议 
imate ee 在 文献 (221, 1557] 中 有 进一步 的 争论 。 其 他 批评 试图 表明 ，BAM B 
辑 可 能 推导 出 关于 协议 明显 错误 的 特征 055 ， 见 文献 [285、1509] WAR. IF H. BAM 逻 
辑 只 pasih maA, xH [1488, 706, 1002] 中 有 更 多 这 方面 的 争论 。 

尽管 有 这 些 批评 ，BAM 逻辑 仍 是 成 功 的 。 它 已 经 在 多 种 协议 中 发 现 缺 陷 ， 这 些 协 议 包 
括 Needham-Schtroeder 和 一 个 早期 的 协议 草案 CCITT X. 5090% 。 它 已 经 发 现 很 多 协议 中 
的 完 余 ， 这 些 协 议 包 括 Yahalom, Needham-Schroeder 和 Kerberos。 许 多 人 的 文章 使 用 
BAM 逻辑 ， 声 称 他 们 协议 的 安全 性 3。 

也 公布 了 其 他 逻辑 系统 ， 有 些 设计 成 为 BAM 好 辑 的 扩展 ”831， 男 一 些 是 基于 
BAM Ene ie [1488.1002] BAR GNY 有 一 些 缺 点 5 ， 但 它 是 这 些 当 4 中 最 为 成 功 
的 一 个 。 文献 [292、474] 提出 应 将 概率 信任 加 到 | BAM 逻辑 中 ， 以 配合 成 功 ; 在 文献 
[156、798、288] 中 讨论 了 其 他 形式 的 逻辑 ;文献 L[1514] 试图 把 多 个 逻辑 的 特点 结合 
来 ; 文献 [1124、1511] 提出 了 信任 能 够 随时 间 而 改变 的 逻辑 。 

密码 协议 分 析 的 第 四 种 途径 是 把 协议 当做 代数 系统 模型 ， 表 示 有 关 协 议 参与 者 了 解 的 状 
态 ， 然 后 分 析 某 种 状态 的 可 达 性 。 这 种 途径 没有 像 形式 化 逻辑 那样 引起 更 多 的 注意 ,但 情况 
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正在 改变 。 它 首先 由 Michael Merritt 使 用 "中,， 他 证 明代 数 模型 可 用 来 分 析 密 码 协 议 。 其 
他 途径 在 文献 [473、1508、1530、1531、1532、1510、1612] 中 有 描述 。 

海军 研究 试验 室 (Navy Research Laboratory, NRL) 的 协议 分 析 器 可 能 是 这 些 技术 中 
最 成 功 的 应 用 玉 2 20652534， 它 用 来 在 各 种 协议 中 寻找 新 的 和 已 知 的 缺陷 5 OPO Se 
协议 分 析 器 定义 了 下 面 的 行为 : 

。 接收 (Bob, Alice, M, N). (Bob Æ N 地 附近 ， 接 收 消息 M 作为 来 自 Alice 的 消息 。) 

。 获悉 (Eve, M). (Eve 获悉 M.) 

。 发 送 〈Alice，Bob，Q，M) 。( 根 据 查 询 Q，Alice 发 送 M 给 Bob 。) 

。 请 求 (Bob, Alice, Q, N). (Bob 在 NN 地 附近 ， 发 送 Q 4 Alice.) 

从 这 些 行为 中 ， 可 以 确定 需求 。 例 如 : 

。 如 果 Bob 在 过 去 某 些 点 接收 到 从 Alice 来 的 消息 M， 那么 Eve 在 过 去 某 些 点 没有 获 

悉 M。 
。 如 果 Bob 在 他 的 N 地 附近 接收 到 从 Alice 来 的 消息 M， 那 么 Alice 给 Bob 发 送 M 作 
为 Bob 在 NN 地 附近 查询 的 响应 。 

为 了 使 用 NRL 协议 分 析 器 ， 必 须 按 以 前 的 结构 规定 协议 。 分 析 有 四 个 步 又 : 为 诚实 的 
参与 者 定义 传送 ; 描述 对 所 有 诚实 和 不 诚实 参与 者 可 得 到 的 操作 ， 描述 基本 的 协议 构造 部 
件 ; 描述 还 原 规则 (reduction rule)。 所 有 这 些 要 说 明 的 是 已 知 的 协议 要 与 它 的 需求 相符 。 
采用 像 NRL 协议 分 析 器 这 样 的 工具 ， 最 终 会 产生 一 个 能 够 证 明 是 安全 的 协议 。 

采用 形式 化 方法 对 已 有 协议 进行 分 析 的 同时 ， 用 形式 化 方法 来 设计 协议 的 工作 也 正在 开 
展 。 文 献 [711] 中 描述 了 这 个 方向 的 初步 成 果 ，NRL 协议 分 析 器 也 正 尝试 这 样 做 吕 5 222 453] 。 

将 形式 化 方法 应 用 在 密码 学 协议 中 仍 是 一 个 很 新 的 概念 ， 并 且 也 很 难 确定 它 将 来 的 发 展 
趋势 。 从 这 一 点 来 说 ， 形 式 化 过 程 是 最 薄弱 的 环节 。 


3.5 多 密 钥 公开 密 钥 密码 系统 

公开 密 钥 密码 系统 使 用 两 个 密 钥 ， 用 一 个 密 钥 加 密 的 消息 能 用 另 一 个 密 钥 解 密 。 通 常 一 个 
密 钥 是 私有 的 ， 而 另 一 个 是 公开 的 。 我 们 假设 Alice 有 一 个 密 钥 ，Bob 有 另 一 个 ,那么 Alice 能 
够 加 密 消息 ， 并 且 只 有 Bob 能 把 它 解 密 ; 反 过 来 Bob 能 够 加 密 消息 ， 只 有 Alice 能 读 它 。 

Colin Boyd HES" Sih BER? 。 设 想 一 种 具有 三 个 密 钥 Ks4、Ks Ke 的 公开 密 钥 密 
码 的 变 体 。 表 3-2 给 出 了 它 的 分 配 。 

Alice 可 以 用 Ks。 加密 消 息 以 便 Ellen 用 Ks Fl Ko 解密 此 消息 。 这 样 Bob 和 Carol 可 能 
冲突 。Bob 能 对 消息 加 密 以 便 Frank 能 读 它 ，Carol 也 能 加 密 消息 以 便 Dave 能 读 它 。Dave 
能 用 Ka DAA BW Ellen 能 读 它 ， 由 于 有 Ka, Frank 也 能 读 它 , 或 者 Dave 同时 用 Kh 
和 Ks 加密 以 便 Carol 能 读 它 。 类 似 地 ，Ellen 能 够 加 密 消息 以 便 Alice 和 Dave 或 者 Frank 
能 读 它 。 表 3-3 归纳 了 所 有 可 能 的 组 合 。 




















表 3-2 三 个 密 钥 的 密 钥 分 配 表 3-3 三 个 密 钥 的 消息 加 密 
人 名 密 ” 钥 用 作 加 密 的 密 钥 必须 用 的 解密 密 钥 
Alice Ka Ka Kg Al Ke 
Bob Ky Ks Ka Al Ke 
Carol Ke Ke Ka Ail Kz 
Dave Ka fil Kz Ka Ail Kg Ke 
Ellen Ks 和 Ke Ka 和 Ke Ks 


Frank Ka 和 Ke Ks 和 Ke Ka 
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这 可 以 推广 到 个 密 钥 ， 如 果 密 钥 的 某 个 子 集 用 来 加 密 消息 ， 那 么 就 需要 用 其 他 密 钥 来 
解密 此 消息 。 


广播 消息 


假设 有 100 个 工人 在 野外 作业 ， 你 想 给 他 们 当中 的 一 些 人 发 送 消息 ， 但 预先 并 不 知道 该 
向 哪些 人 发 。 可 以 为 每 个 人 单独 加 密 消 息 或 者 为 每 种 可 能 的 组 合 都 给 出 密 钥 。 第 一 种 选择 需 
要 增加 很 多 通信 和 量 ; 第 二 种 选择 需要 很 多 密 钥 。 

采用 多 密 钥 密 码 方案 就 容易 得 多 ， 用 三 个 工人 : Alice, Bob 和 Carol 来 举例 。 将 Ka 和 
Ks 给 Alice, 将 Ks fl Kc 4 Bob, 将 Kc 和 Ka 给 Carol。 现 在 可 以 同 想 要 通信 的 任何 子 集 
交谈 。 如 果 想 发 送 消息 只 有 Alice 能 读 它 ， 就 用 Kc 加 密 此 消息 。 当 Alice 接收 到 此 消息 时 ， 
她 先 用 Ka 然后 再 用 Ks 解密。 如 果 想 发 送 消息 只 有 Bob 能 读 它 ， 就 用 Ka ME. A Ks 加 
密 时 ， 只 有 Carol 才能 读 它 。 如 果 发 送 消 息 使 Alice 和 Bob 都 能 读 它 ， 就 用 Ks 和 Kc 对 它 加 
eS. 

这 可 能 不 会 有 什么 激动 人 心 的 地 方 ， 但 对 于 100 个 工人 来 说 ， 它 就 非常 有 用 了 。 单 个 消 
息 意 味 着 和 每 个 工人 共享 一 个 密 钥 〈 总 共 100 个 密 钥 ) 和 每 个 消息 。 密 钥 的 可 能 子 集 共 有 
2° — 2 种 (针对 全 部 工人 的 消息 和 不 对 工人 的 消息 除外 )。 而 这 个 方案 只 需要 一 个 加 密 消息 
和 100 个 不 同 的 密 钥 ， 它 的 缺陷 是 你 不 得 不 广播 哪个 工人 的 子 集 能 够 读 消 息 ; BM, BTL 

人 将 不 得 不 尝试 所 有 可 能 的 密 钥 组 合 ， 以 寻找 正确 的 一 组 密 钥 。 甚 至 只 需 意 向 接收 者 的 名 字 
也 是 可 行 的 。 至 少 ， 为 了 实现 简单 ， 每 个 人 实际 上 得 到 大 量 的 密 钥 数 据 。 

还 有 其 他 用 于 消息 广播 的 技术 ， 其 中 有 些 避 免 了 前 面 的 问题 ， 这 些 将 在 22. 7 节 中 讨论 。 


3.6 WENE 

设想 你 已 发 明了 一 种 新 的 、 特 别 粘 的 、 特 别 甜 的 奶油 饼 馅 ， 或 者 你 已 经 制作 了 一 种 碎 肉 
夹 饼 的 调味 料 ， 哪 怕 它 比 竞争 者 的 更 无 味 ,， 但 最 重要 的 是 : 你 必须 保守 秘密 。 你 只 能 告诉 最 
信赖 的 雇员 各 种 成 分 准确 的 调和 ， 但 如 果 他 们 中 的 一 个 背叛 了 你 投靠 到 对 手 一 方 时 怎么 办 
呢 ? 秘密 就 会 泄漏 ， 不 久 ， 每 个 出 售 黄油 的 地 方 将 做 出 和 你 的 一 样 无 味 的 调味 料 。 

这 种 情况 就 要 求 秘密 分 割 (secret splitting)。 有 各 种 方法 把 消息 分 割 成 许多 碎片 。 
每 一 片 本 身 并 不 代表 什么 ,但 把 这 些 碎片 放 到 一 块 ， 消 息 就 会 重 现 出 来 。 如 果 消 息 是 一 个 秘 
方 ， 每 一 个 雇员 有 一 部 分 ， 那么 只 有 它们 放 在 一 起 才能 做 出 这 种 调味 料 。 如 果 任 意 一 个 雇员 
辞职 带 走 一 部 分 配方 ， 它 本 身 毫 无 用 处 。 

在 两 个 人 之 间 分 割 消 息 是 最 简单 的 共享 问题 。 下 面 是 Trent 把 消息 分 割 给 Alice 和 Bob 
的 协议 : 

(1) Trent 产生 随机 位 串 R， 它 和 消息 M 一 样 长 。 

(2) Trent H R aM 得 到 S: MOR=S, 

(3) Trent #2 R 4 Alice, 将 S 给 Bob. 

为 了 重 构 此 消息 ，Alice 和 Bob 只 需 一 起 做 一 步 : 

(4) Alice 和 Bob 将 他 们 的 消息 异 或 就 可 得 到 此 消息 : ROS=M, 

如 果 做 得 适当 ， 这 种 技术 绝对 安全 。 每 一 部 分 本 身 毫 无 价值 。 实 质 上 ，Trent 是 用 一 
一 密 乱 码 本 加 密 消 息 ， 并 将 密 文 给 一 个 人 人， 乱码 本 给 另 一 个 人 。1. 5 节 讨 论 过 一 次 一 ches 
本 ， 它们 具有 完全 保密 性 。 无 论 有 多 大 计算 能 力 都 不 能 根据 消息 碎片 之 一 确定 此 消息 。 

把 这 种 方案 推广 到 多 人 也 很 容易 。 为 了 在 多 个 人 中 分 割 消息 ， 将 此 消息 与 多 个 随机 位 异 
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或 成 混合 物 。 在 下 面 的 例子 中 ，Trent 把 消息 划分 成 四 部 分 : 

(1) Trent 产生 三 个 随机 位 串 R、S、T， 每 个 随机 串 与 消息 M 一 样 长 。 

(2) Trent 用 这 三 个 随机 串 和 M 异 或 得 到 U: MOR OS @OT=vU, 

(3) Trent 4% U ¥ Alice, S#4 Bob, T # Carol, U 给 Dave。 

Alice, Bob, Carol 和 Dave 在 一 起 可 以 重 构 此 消息 : 

(4) Alice, Bob, Carol 和 Dave 一 起 计算 : ROS @®T 由 U=M。 

这 是 一 个 裁决 协议 ，Trent 有 绝对 的 权力 ， 并 且 能 够 做 他 想 做 的 任何 事情 。 他 可 以 把 毫 
无 意义 的 东西 拿 出 来 ， 并 且 申 明 是 秘密 的 有 效 部 分 。 在 他 们 将 秘密 重 构 出 来 之 前 ， 没 有 人 能 
够 知道 它 。 他 可 以 分 别 交 给 Alice, Bob, Carol 和 Dave 一 部 分 ， 并 在 以 后 告诉 每 一 个 人 ， 
只 要 Alice, Carol 和 Dave 三 人 就 可 以 重 构 出 此 秘密 ， 然 后 解雇 Bob。 由 于 这 是 由 Trent 分 
配 的 秘密 ， 这 对 于 他 恢复 消息 是 没有 问题 的 。 

然而 ， 这 种 协议 存在 一 个 问题 : 如果 任何 一 部 分 丢失 了 ， 并 且 Trent 又 不 在 ， 就 等 于 将 
消息 丢掉 了 。 如 果 Carol 有 调味 料 配方 的 一 部 分 ， 他 跑 去 为 对 手工 作 ， 并 带 走 了 他 的 那 一 部 
分 ， 那 么 其 他 人 就 很 不 幸 了 ， 她 不 可 能 重新 产生 这 个 秘方 ，Alice、Bob 和 Dave 在 一 起 也 不 
行 。Carol 的 那 一 部 分 对 消息 来 说 和 其 他 部 分 一 样 重要 。Alice、Bob 和 Dave 知道 的 仅 是 消 
息 的 长 度 。 这 是 真 的 ， 因 为 R、S、T、U 和 M 都 有 同样 的 长 度 ， 见 到 他 们 中 的 任何 一 个 都 
知道 它 的 长 度 。 记 住 ，M 不 是 通常 单词 意义 的 分 割 ， 它 是 用 随机 数 异 或 的 。 


3.7 秘密 共享 

你 正在 为 核 导 弹 安装 发 射程 序 。 你 想 确信 一 个 疯子 是 不 能 够 启动 发 和 里 ， 也 想 确 信和 两 个 疯 
子 也 不 能 启动 发 射 。 在 你 允许 发 射 前 ， 五 个 官员 中 至 少 有 三 个 是 疯子 。 

这 是 一 个 容易 解决 的 问题 。 做 一 个 机 械 发 射 控制 器 ， 给 五 个 官员 每 人 一 把 钥匙 ， 并 且 在 
允许 他 们 起 爆 时 ， 要 求 至 少 三 个 官员 的 钥匙 插入 合适 的 槽 中 〈 如 果 你 确实 担心 ， 可 以 使 这 些 
槽 分 隔 远 些 ， 并 要 求 官员 同时 将 钥匙 插入 。 你 不 愿 一 个 官员 偷 穷 另 两 把 钥匙 ， 使 他 能 够 毁坏 
多 伦 多 )。 

我 们 其 至 能 把 它 变 得 更 复杂 。 也 许 将 军 和 两 个 上 校 被 授权 发 射 导弹 ， 但 如 果 将 军 正在 打 
高 尔 夫 球 ， 那 么 启动 发 射 需要 五 位 上 校 。 制 造 一 个 发 射 控制 器 ， 该 发 射 器 需要 五 把 钥匙 。 给 
将 军 3 把 钥匙 ， 给 每 位 上 校 一 把 钥匙 。 将 军 和 任何 两 位 上 校 一 起 就 能 发 射 导弹 。 五 位 上 校 一 
起 也 能 ， 但 将 军 和 一 位 上 校 就 不 能 ， 四 位 上 校 也 不 行 。 

一 个 叫做 门限 方案 (threshold scheme) 的 更 复杂 的 共享 方案 ， 可 在 数学 上 做 到 这 些 其 
至 做 得 更 多 。 起 码 ， 你 可 以 取 任 何 消息 〈 秘 密 的 秘方 、 发 射 代 码 、 洗 衣 价 目 表 )， 并 把 它 分 
成 nn 部分， 每 部 分 叫做 它 的 影子 (shadow) 或 共享 ， 这 样 它们 中 的 任何 m 部 分 能 够 用 来 重 
构 消 息 ， 更 准确 地 说 ， 这 叫做 (m, n) 门限 方案 。 

拿 (3，4) 门限 方案 来 说 ，Trent 可 以 将 他 的 秘密 调味 料 秘方 分 给 Alice, Bob, Carol 和 
Dave， 这 样 把 他 们 中 的 任意 三 个 影子 放 在 一 起 就 能 重 构 消 息 。 如 果 Carol 正在 度假 ,那么 
Alice, Bob 和 Dave 可 以 做 这 件 事 ; 如 果 Bob 被 汽车 撞 了 ,那么 Alice、Carol 和 Dave 能 够 做 这 
件 事 ; 然而 如 果 Carol 正在 度假 期 间 ，Bob 被 汽车 撞 了 ，Alice 和 Dave 就 不 可 能 重 构 消息 了 。 

普通 的 门限 方案 远 比 上 面 所 说 的 更 通用 。 任 何 共享 方案 都 能 用 它 构 建 模型 。 你 可 以 把 消 
息 分 给 你 所 在 大 楼 中 的 人 ， 以 便 重 构 它 ， 你 需要 一 楼 的 7 个 人 和 二 楼 的 5 个人， 就 能 恢复 此 
消息 。 如 果 有 从 三 楼 来 的 人 ， 在 这 种 情况 下 ， 你 仅 需 要 从 三 楼 来 的 那个 人 和 从 一 楼 来 的 3 个 
人 及 从 二 楼 来 的 2 个 人 ; 如 果 有 从 四 楼 来 的 人 ， 在 这 种 情况 下 ,你 仅 需 要 从 四 楼 来 的 那个 人 
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和 从 三 楼 来 的 1 个 人 , 或 从 四 楼 来 的 那个 人 和 从 一 楼 来 的 2 个 人 及 从 二 楼 来 的 1 个 人 ; 或 
pore 好 的 ， 你 明白 这 个 概念 了 。 

这 种 思想 是 由 Adi Shamir! 和 George Blakley’) 两 人 分 别 创造 的 ， 并 由 Gus Sim- 
monsi 做 了 更 广泛 的 研究 ，23. 2 节 讨 论 几 种 不 同 的 算法 。 


3.7.1 有 骗子 的 秘密 共享 

有 许多 方法 可 欺骗 门限 方案 ， 下 面 是 其 中 的 几 种 : 

情景 1: 上校 Alice, Bob 和 Card 在 某 个 隔离 区 很 深 的 地 下 掩体 中 。 一 天 ， 他 们 从 总 统 
那里 得 到 编码 消息 : “发 射 那些 导弹 ， 我 们 要 根除 这 个 国家 的 神经 网 络 研 究 残余 .”Alice、 
Bob 和 Carol 出 示 他 们 的 影子 ， 但 Carol 却 输入 一 个 随机 数 。 她 实际 上 是 和 平 主 义 者 ， 不 想 
发 射 导弹 。 由 于 Carol 没有 输入 正确 的 影子 ， 因 此 他 们 恢复 的 秘密 是 错误 的 ， 导 弹 还 是 停放 
在 发 射 井中 。 其 至 更 糟糕 的 是 ， 没 有 人 知道 为 什么 会 这 样 。 即 使 Alice 和 Bob 一 起 工作 ， 他 
们 也 不 能 证 明 Carol 的 “影子 ”是 无 效 的 。 

情景 2: 上校 Alice 和 Bob 与 Mallory 正 坐 在 掩体 中 。Mallory 假装 也 是 上 校 ， 其 他 人 都 
不 能 识破 。 同 样 的 消息 从 总 统 那 里 来 了 ， 并 且 每 人 都 出 示 了 他 们 的 影子 , “ 哈 ， 哈 !”Mal- 
lory 大 叫 起 来 :“ 我 伪造 了 从 总 统 那 里 来 的 消息 ， 现 在 我 知道 你 们 两 人 的 影子 了 。” 在 其 他 人 
PE HDA HT. fH EPEE kB T 

情景 3: 上校 Alice. Bob 和 Carol 与 Mallory 一 起 坐 在 掩体 中 ，Mallory 又 是 伪装 的 
GEIE, Mallory 没有 有 效 的 影子 ) 。 同 样 的 消息 从 总 统 那里 来 了 ， 并 且 每 人 都 出 示 了 他 们 的 
影子 ，Mallory 只 有 在 看 到 他 们 三 人 的 影子 后 才 出 示 他 的 影子 。 由 于 重 构 这 个 秘密 只 需要 三 
个 影子 ， 因 此 他 能 够 很 快 地 产生 有 效 的 影子 并 出 示 。 现 在 ， 他 不 仅 知 道 了 秘密 ， 而 且 没 有 人 
知道 他 不 是 这 个 方案 的 一 部 分 。 

处 理 这 些 欺 骗 的 一 些 协议 在 23. 2 节 中 讨论 。 


3.7.2 没有 Trent 的 秘密 共享 

五 个 官员 中 有 三 个 人 插入 他 们 的 钥匙 ， 才 能 打开 银行 的 金库 。 这 听 起 来 像 一 个 基本 的 
(3, 5) 门限 方案 ,但 是 有 一 个 保险 装置 。 没 有 人 知道 整个 秘密 ， 不 存在 Trent 来 把 秘密 分 成 
五 部 分 ， 而 是 采用 一 种 五 个 官员 可 以 产生 秘密 的 协议 ， 通 过 这 协议 ， 每 人 得 到 一 部 分 ， 使 得 官 
员 在 重 构 它 之 前 ， 无 人 知道 这 个 秘密 "“ 。 本 书 不 准备 讨论 这 些 协 议 ， 详 细 资料 见 [756]. 


3.7.3 不 暴露 共享 的 秘密 共享 


上 述 方案 有 一 个 问题 。 当 每 个 人 聚 到 一 起 重 构 他 们 的 秘密 时 ， 他 们 暴露 了 他 们 的 共享 。 其 
实 不 必 出 现 这 种 情况 。 如 果 共 享 秘密 是 私人 密 钥 (例如 ， 对 数字 签名 )， 那 么 nn 个 共享 者 中 的 
每 一 个 都 可 以 完成 文件 的 一 部 分 签名 。 在 第 n 部 分 签名 后 ， 文 件 已 经 用 共享 的 私人 密 钥 签名 ， 
并 且 共 享 者 中 没有 人 了 解 任 何其 他 人 的 共享 。 秘 密 能 够 重用 是 关键 ， 并 且 你 不 必用 可 信 的 处 理 
器 去 处 理 它 。Yvo Desmedt 和 Yair Frankel 对 这 个 概念 进行 了 进一步 的 探索 ”1 。 


3.7.4 可 验证 的 秘密 共享 


Trent 给 Alice, Bob, Carol 和 Dave 每 人 一 部 分 (秘密 ), 或 者 至 少 他 说 他 这 样 做 了 。 
他 们 中 的 任何 人 想 知道 他 们 是 否 有 有 效 部 分 ， 唯 一 的 办 法 是 尝试 重 构 秘 密 。 也 许 Trent 发 给 
Bob 一 个 假 的 共享 ， 或 者 由 于 通信 和 错误，Bob 偶然 接收 到 一 个 坏 的 共享 。 可 验证 的 秘密 共享 
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允许 他 们 中 的 每 个 人 分 别 验证 他 们 有 一 个 有 效 的 共享 ， 而 不 用 重 构 这 个 秘密 -2 。 


3.7.5 带 预 防 的 秘密 共享 


一 个 秘密 被 分 给 50 个 人 ， 只 要 任何 10 个 人 在 一 起 ， 就 可 以 重 构 这 个 秘密 。 这 样 做 是 容易 
的 。 但 是 ， 当 增加 约束 条 件 ，20 人 在 一 起 才能 恢复 秘密 同时 要 防止 其 他 重 构 秘密 时 ,我 们 能 
实现 这 个 秘密 共享 方案 吗 ? 是 否 多 少 人 共享 都 没有 问题 ? CAVE, FRAT AEB BIO” 。 

数学 当然 十 分 复杂 ， 但 其 基本 思想 是 每 个 人 得 到 两 个 共享 : 一 个 “是 ”和 一 个 “ 否 ” 的 
共享 。 当 重 构 秘 密 时 ， 每 个 人 提交 他 们 的 一 个 共享 。 他 们 提交 的 实际 共享 依赖 于 他 们 是 否 希 
望 重 构 秘 密 。 如 果 有 m 或 更 多 个 “是 ”共享 和 少 于 nn 个 “ 否 ” 共 享 ， 那么 秘密 能 够 重 构 ; 
否则 ， 不 能 重 构 。 

当然 ， 如 果 没 有 “和 否 ” 共 享 的 人 《假设 他 们 知道 是 谁 )， 没 有 任何 事情 能 防止 足够 数量 
的 “是 ”共享 的 人 外 牛角 尖 ， 去 重 构 秘密 。 但 是 在 每 个 人 提交 他 们 的 共享 进入 中 心计 算 机 的 
情况 下 ， 这 个 方案 是 可 行 的 。 


3.7.6 带 除名 的 秘密 共享 


你 正在 安装 秘密 共享 系统 ， 现 在 你 想 解雇 一 名 共享 者 。 你 可 以 安装 没有 那个 人 的 新 方案 
系统 ， 但 很 费时 。 有 多 种 方法 处 理 这 个 系统 ， 一 旦 有 一 个 参与 者 变 成 不 可 信 时 ， 人 允许 立即 启 
HAWER, 


3.8 数据 库 的 密码 保护 


任何 组 织 的 成 员 数 据 库 都 是 有 价值 的 。 一 方面 ， 你 想 把 数据 库 分 配给 所 有 成 员 ， 他 们 互 
相通 信 ， 交 换 想法 ， 互 相 邀 请 吃 黄瓜 三 明治 。 另 一 方面 ， 如 果 把 成 员 数 据 库 分 配给 每 个 人 ， 
副本 必定 会 落 入 保险 商 或 其 他 恼人 的 垃圾 邮件 供应 者 之 手 。 

密码 学 能 够 改善 这 个 问题 。 可 以 加 密 数 据 库 ， 使 它 易 于 提取 单个 人 的 地 址 ， 而 难于 提取 
所 有 成 员 的 邮件 名 单 。 

L550、549] 的 方案 是 直截了当 的 。 选 用 一 个 单 向 散 列 函数 和 对 称 加 密 算法 。 数 据 库 的 每 个 
记录 有 两 个 字段 。 索 引 字 段 是 成 员 的 姓 ， 用 单 向 散 列 函数 进行 运算 。 数 据 字 段 是 全 名 和 成 员 的 地 
址 ， 用 姓 作为 密 钥 对 数据 字段 加 密 。 除 非 你 知道 这 个 人 的 姓 ， 和 否则 你 不 可 能 解密 数据 字段 。 

搜索 一 个 指定 的 姓 是 容易 的 。 首 先 ， 对 姓 进 行 散 列 运算 ， 并 在 数据 库 的 索引 字段 中 搜寻 
散 列 值 。 如 果 匹 配 ， 那 么 这 个 人 的 姓 就 在 数据 库 中 。 如 果 有 多 个 匹配 ， 那么 就 有 多 个 人 同 
姓 。 最 后 ， 对 每 个 匹配 的 项 ， 用 姓 作为 密 钥 解密 出 全 名 和 地 址 。 

在 文献 [550] 中 ， 作 者 采用 这 种 系统 对 6000 个 西班牙 动词 的 字典 进行 保护 。 加 密 只 引 
起 很 小 的 性 能 降低 。 文 献 C549] 附加 的 复杂 性 就 是 处 理 搜寻 多 个 索引 ， 但 思想 还 是 相同 的 。 
这 个 系统 的 主要 问题 是 ， 当 你 不 知道 怎么 拼写 他 们 的 名 字 时 ， 就 不 可 能 搜寻 所 要 找 的 人 。 你 
可 以 尝试 各 种 拼 法 ， 直 到 你 找到 正确 的 拼 法 为 止 , 但 是 当 你 搜寻 Schneier 时 ,扫描 所 有 以 
Sch 开头 的 名 字 并 不 实际 。 

这 种 保护 并 不 完善 。 某 个 特别 固执 的 保险 商 通 过 尝试 所 有 可 能 的 姓 ， 就 可 能 重 构成 员 数 
据 库 。 如 果 他 有 电话 数据 库 ， 他 就 可 以 把 它 作 为 一 个 可 能 的 姓氏 表 来 建立 数据 库 。 在 计算 机 
上 做 此 事 可 能 要 花费 几 星 期 时 间 ， 但 却 是 可 行 的 。 在 垃圾 邮件 社会 中 ， 做 这 种 工作 更 难 ， 而 
且 “ 更 难 ” 很 快 会 变 成 “ 太 贵 ”。 

文献 [185] 提供 了 男 一 种 途径 ， 人 允许 在 加 密 的 数据 中 编辑 统计 数字 。 
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4.1 时 间 标 记 服 务 

在 很 多 情况 中 ， 人 们 需要 证 明 某 个 文件 在 某 个 时 期 存在 。 在 版 权 或 专利 争端 中 ， 谁 有 产 
生 争 议 工 作 的 最 早 副本 ， 谁 就 将 赢得 官司 。 对 于 纸 上 的 文件 ， 公 证 人 可 以 对 文件 签名 ， 律 师 
可 以 保护 副本 。 如 果 产 生 了 争端 ， 公 证 人 或 律师 可 以 证 明 某 封 信 产 生 于 某 个 时 间 。 

在 数字 世界 中 ， 事 情 要 复杂 得 多 。 没 有 办 法 检查 帘 改 签名 的 数字 文件 。 可 以 无 止境 地 复 
制 和 修改 数字 文件 而 无 人 发 现 。 在 计算 机 文件 上 改变 日 期 标记 是 轻而易举 的 事 ， 没 有 人 在 看 
到 数字 文件 后 说 :“ 是 的 ， 这 个 文件 是 在 1952 年 12 月 4 日 以 前 创建 的 。” 

贝尔 通信 研究 中 心 的 Stuart Haber 和 W. Scott Stornetta 考虑 了 这 个 问题 [58828334 。 他 们 
认为 数字 时 间 标 记 协 议 具有 下 列 三 个 性 质 : 

。 数据 本 身 必 须 有 时 间 标 记 ， 而 不 用 考虑 它 所 用 的 物理 媒介 。 

。 改变 文件 的 1 个 位 而 文件 却 没 有 明显 变化 是 不 可 能 的 。 

。 不 可 能 用 不 同 于 当前 日 期 和 时 间 的 日 期 和 时 间 来 标记 文件 。 


4.1.1 仲裁 解决 方法 


这 个 协议 需要 Trent 和 Alice, Trent 提供 可 信和 的 时 间 标 记 服 务 ，Alice 希望 对 文件 加 上 
时 间 标 记 : 

(1) Alice 将 文件 的 副本 传送 给 Trent。 

(2) Trent 将 他 收 到 文件 的 日 期 和 时 间 记 录 下 来 ， 并 妥善 保存 文件 的 副本 。 

现在 ， 如 果 有 人 对 Alice 所 声明 的 文件 产生 的 时 间 有 怀疑 ，Alice 只 要 打 电 话 给 Trent, 
Trent 将 提供 文件 的 副本 ， 并 证 明 他 在 标记 的 日 期 和 时 间接 收 到 文件 。 

这 个 协议 是 可 行 的 ， 但 有 些 明 显 的 问题 。 第 一 ， 没 有 保密 性 。Alice 不 得 不 将 文件 的 副 
本 交 给 Trent。 在 信道 上 窃听 的 任何 人 都 可 以 读 它 。 她 可 以 对 文件 加 密 ， 但 文件 仍 要 放 人 入 
Trent 的 数据 库 中 ， 谁 知道 这 个 数据 库 有 多 安全 ? 

第 二 ， 数 据 库 本 身 将 是 巨大 的 。 并 且 发 送 大 量 的 文件 给 Trent 所 要 求 的 带宽 也 非常 大 。 

第 三 ， 存 在 潜在 的 错误 。 传 送 错误 或 Trent 的 中 央 计 算 机 中 某 些 地 方 的 电磁 炸弹 引爆 将 
使 Alice 声明 的 时 间 标 记 完 全 无 效 。 

第 四 ， 可 能 有 些 执行 时 间 标 记 业 务 的 人 并 不 像 Trent 那样 诚实 。 也 许 Alice 正在 使 用 
Bob 的 时 间 标 记 和 Taco Stand 系统 。 没 有 任何 事情 能 阻止 Alice 和 Bob 合谋 ， 他 们 可 以 用 任 
何 想 要 的 时 间 对 文件 做 时 间 标 记 。 


4.1.2 改进 的 仲裁 解决 方法 
单 向 散 列 函数 和 数字 签名 能 够 轻而易举 地 解决 大 部 分 问题 : 
(1) Alice 产生 文件 的 单 向 散 列 值 。 
(2) Alice 将 散 列 值 传 送 给 Trent. 
(3) Trent 将 接收 散 列 值 的 日 期 和 时 间 附 在 散 列 值 后 ， 并 对 结果 进行 数字 签名 。 
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(4) Trent 将 签名 的 散 列 值 和 时 间 标 记 送 回 给 Alice, 

这 种 方法 解决 了 除 最 后 一 个 问题 外 的 所 有 问题 。Alice 再 也 不 用 担心 泄露 她 的 文件 内 容 ， 
因为 散 列 值 就 是 够 了 。Trent 也 不 用 存储 文件 的 副本 (或 者 甚至 散 列 值 );， 这 样 大 量 的 存储 
要 求 和 安全 问题 就 解决 了 〈 记 住 , 单 向 散 列 函数 不 需要 密 钥 )，Alice 可 以 马上 检查 她 在 第 
步 中 接收 到 的 对 时 间 标 记 散 列 值 的 签名 。 这 样 ， 她 将 马上 发 现在 传送 过 程 中 的 任何 错 
误 。 这 里 唯一 存在 的 问题 是 ，Alice 和 Trent 仍然 可 以 合谋 产生 他 们 想 要 的 任何 时 间 标 记 。 
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4.1.3 链接 协议 

解决 这 个 问题 的 一 种 方法 是 将 Alice 的 时 间 标 记 同 以 前 由 Trent 产生 的 时 间 标 记 链 接 起 
来 。 这 些 时 间 标 记 很 可 能 是 为 其 他 人 而 不 是 为 Alice 产生 的 。 由 于 Trent 预先 不 知道 他 所 接 
收 的 不 同时 间 标 记 的 顺序 ， 所 以 Alice 的 时 间 标 记 一 定 发 生 在 前 一 个 时 间 标 记 之 后 。 并 且 由 
于 后 来 的 请 求 是 与 Alice 的 时 间 标 记 链 接 的 ， 所 以 她 必须 出 现在 前 面 。Alice 的 请 求 正好 夹 
在 两 个 时 间 之 间 。 

如 果 A 表示 Alice, Alice 想 要 做 时 间 标 记 的 散 列 值 是 电 ,， 并 且 前 一 个 时 间 标 记 是 
T, 15 JBA BAXIT: 

(1) Alice ¥ H, MA 发 送 给 Trent, 

(2) Trent an FE Bak GIA Alice: T= Srn, As Hys tas leis Heas Leas Ln)o 
Hp, L, 由 如 下 散 列 链接 消息 组 成 : LaS H A, Hras Tros Lei); Sk 表示 消息 是 用 
Trent 的 私人 密 钥 签 名 的 ; Alice 的 名 字 A 表示 她 是 请 求 的 发 起 者 ; 参数 n 表示 请 求 的 序 
号 一 一 这 是 Trent 发 布 的 第 nn 个 时 间 标 记 ; 参数 6 是 时 间 ; 其 他 消息 为 身份 标识 符 、 源 散 
列 值 、 时 间 和 Trent 对 以 前 文件 做 的 时 间 标 记 的 散 列 值 。 

(3) 在 Trent 对 下 一 个 文件 做 时 间 标 记 后 ， 他 将 那个 文件 发 起 者 的 标识 符 I+ 发 送 给 
Alice, 

如 果 有 人 对 Alice 的 时 间 标 记 提 出 疑问 ， 她 只 同 她 的 前 后 文件 的 发 起 者 志和 天 接触 
就 行 了 。 如 果 对 她 的 前 后 文件 也 有 疑问 ， 他 们 可 以 同 I ,和 5 接触 等 。 每 个 人 都 能 够 表明 
他 们 的 文件 是 在 先 来 的 文件 之 后 和 后 来 的 文件 之 前 打上 时 间 标 记 的 。 

这 个 协议 使 Alice 和 Trent 很 难 合谋 产生 不 同 于 实际 时 间 的 时 间 标 记 。Trent 不 可 能 为 
Alice 顺 填 文件 的 日 期 。 因 为 那样 的 话 ，Trent 就 要 预先 知道 在 它 之 前 是 哪个 文件 的 请 求 。 
即使 他 能 够 伪造 那个 文件 ， 他 也 得 知道 在 那个 文件 前 来 的 是 什么 文件 的 请 求 等 。 由 于 时 间 标 
记 必须 租 入 马上 发 布 的 后 一 个 文件 的 时 间 标 记 中 ， 并 且 那 个 文件 也 已 经 发 布 了 ， 所 以 他 不 可 
能 倒 填 文件 的 日 期 。 破 坏 这 个 方案 的 唯一 办 法 是 在 Alice 的 文件 前 后 创建 虚构 的 文件 链 ， 该 
链 足 够 长 以 至 于 可 以 穷 举 任何 人 对 时 间 标 记 提 出 的 疑问 。 


4.1.4 分 布 式 协议 

人 死 后 ， 时 间 标 记 就 会 丢失 。 在 时 间 标 记 和 疑问 之 间 很 多 事情 都 可 能 发 生 ， 以 使 Alice 
不 可 能 得 到 1 的 时 间 标 记 的 副本 ， 这 个 问题 可 以 通过 把 前 面 10 个 人 的 时 间 标 记 骨 入 Alice 
的 时 间 标 记 中 得 到 缓解 ， 并 且 将 后 面 10 个 人 的 标识 符 都 发 给 Alice。 这 样 Alice 就 会 有 更 大 
的 机 会 找到 那些 仍 有 他 们 的 时 间 标 记 的 人 。 

下 面 的 协议 与 Trent 一 起 实现 分 布 式 协议 : 

(1) 用 H, 作为 输入 ，Alice 用 密码 学 意义 上 的 安全 伪 随 机 数 发 生 器 产生 一 串 随 机 值 : 
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(2) Alice 将 这 些 值 的 每 一 个 看 做 其 他 人 的 身份 标识 符 I。 她 将 H, 发 送 给 他 们 中 的 每 
小 人 = 
(3) 他 们 中 的 每 个 人 将 日 期 和 时 间 附 到 散 列 值 后 ， 对 结果 签名 ， 并 将 它 送 回 给 Alice, 
(4) Alice 收集 并 存储 所 有 的 签名 作为 时 间 标 记 。 

第 (1) 步 中 密码 学 意义 上 的 安全 伪 随 机 数 发 生 器 防止 Alice 故意 选取 不 可 靠 的 工作 为 
证 人 。 即 使 她 在 文件 中 做 些 改变 以 便 构 造 一 组 不 可 靠 的 TI， 但 她 用 这 种 方式 逃脱 的 机 会 也 是 
很 小 的 ， 散 列 函数 使 了 随机 化 ，Alice 不 可 能 强迫 他 们 。 

这 个 协议 是 可 行 的 ， 因 为 Alice 伪造 时 间 标 记 的 唯一 办 法 是 使 所 有 的 上 个 人 都 与 她 合 
作 。 由 于 在 第 CL) 步 中 她 随机 地 选择 kk 个人， 所 以 防备 这 种 攻击 的 可 能 性 很 高 。 社 会 越 腐 
败 ,，& 值 就 应 越 大 。 

另外 ， 应 该 有 一 些 机 制 来 对 那些 不 能 马上 返回 时 间 标 记 的 人 进行 处 理 。& 的 一 些 子 集 都 
应 该 是 有 效 时 间 标 记 所 要 求 的 。 其 细节 由 具体 的 实现 来 决定 。 


4.1.5 进一步 的 工作 

时 间 标 记 协 议 的 进一步 改进 已 在 C92) 中 提出 。 作 者 利用 二 又 树 来 增加 时 间 标 记 的 数 
目 ， 这 个 时 间 标 记 的 数目 依赖 于 一 个 给 定 的 时 间 标 记 ， 以 进一步 减少 某 些 人 产生 虚拟 时 间 标 
记 链 的 可 能 性 。 他 们 也 建议 在 公共 地 方 〈 例 如 发 表 在 报纸 上 ) 公布 每 天 的 时 间 标 记 的 散 列 
值 。 这 类 似 于 在 分 布 式 协议 中 发 送 散 列 值 给 随机 的 人 。 事 实 上 ， 从 1992 年 以 来 时 间 标 记 就 
已 经 出 现在 每 星期 日 的 《纽约 时 报 》 上 了 。 

这 些 时 间 标 记 协议 取得 了 专利 权 ' “5 。 原 隶属 于 贝尔 通信 研究 中 心 的 Surety 技术 
公司 拥有 这 些 专利 并 将 数字 公证 系统 推 向 市 场 以 支持 这 些 协 议 。 在 其 第 1 版 中 ,客户 发 出 
“证 明 ” 请 求 给 中 央 协 调 服务 器 。 下 述 的 Merkle 技术 使 用 散 列 函数 构造 树 ""“ : 服务 器 构造 
由 散 列 值 构成 的 树 ， 树 的 叶子 是 在 给 定 的 秒 期 间接 收 的 所 有 请 求 ， 并 且 服 务 器 把 从 它 的 叶子 
到 树 根 路 径 上 的 散 列 值 的 列表 发 回 给 每 位 请 求 者 。 客 户 软件 把 它 存储 在 本 地 ， 并 能 为 已 经 证 
明 的 任何 文件 发 布 一 个 数字 公证 的 “证 书 ”。 这 些 树 的 根 的 序列 由 在 多 个 存储 库 地 点 用 电子 
手段 获得 的 “全 程 有 效 记 录 ” 组 成 (也 在 CD-ROM 上 发 布 )。 客 户 软件 也 包括 一 个 “有 效 
的 ”函数 ， 人 允许 用 户 测 试 文件 是 否 已 经 准确 地 用 其 当前 形式 证 明 (对 适当 的 树 根 通过 查询 存 
储 库 ， 并 把 它 与 从 文件 和 它 的 证 书 中 重新 计算 的 适当 散 列 值 进行 比较 )。 需 要 了 解 Surety 技 
术 公司 可 与 下 面 的 地 址 联系 : 

1 Main St. , Chatham, NJ, 07928; (201) 701—0600; Fax: (201) 701—0601 


42 ATER 

假设 Alice 和 Bob 被 捕 入 狱 。 他 将 去 男 牢房 ， 而 她 则 进 女 牢 房 。 看 守 Walter 愿意 让 Alice 
和 Bob 交换 消息 ， 但 不 允许 他 们 加 密 。Walter 认为 他 们 可 能 会 商讨 一 个 逃跑 计划 ， 因 此 ， 
他 和 希望 能 够 阅读 他 们 说 的 每 个 细节 。 

Walter th 4 22K Sh Alice 和 Bob， 他 想 让 他 们 中 的 一 个 将 欺诈 消息 当做 来 自 男 一 个 人 的 
真实 消息 。Alice 和 Bob 愿意 冒 这 种 欺骗 的 危险 ， 否 则 他 们 根本 无 法 联络 ,而 他 们 必须 商讨 
他 们 的 计划 。 为 了 完成 这 件 事 ， 他 们 不 得 不 欺骗 看 守 ， 并 找 出 秘密 通信 的 方法 。 他 们 不 得 不 
建立 一 个 阅 下 信道 (subliminal channel), ， 即 完全 在 Walter 视野 内 的 他 们 之 间 的 一 个 秘密 通 
信 信 道 ， 消 息 本 身 并 不 包含 秘密 消息 。 通 过 交换 完全 无 害 的 签名 消息 ， 他 们 可 以 来 回 传 送 秘 
密 消 息 ， 并 骗 过 Walter， 即 使 Walter 正在 监视 所 有 的 通信 。 
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一 个 简易 的 立 下 信道 可 以 是 句子 中 单词 的 数目 。 句子 中 奇数 个 单词 对 应 “1”， 而 偶数 个 
单词 对 应 “0”。 因 此 ， 当 你 读 这 种 仿佛 无 关 的 段落 时 ， 我 已 将 消息 “101” 送 给 了 在 现场 的 
我 方 的 人 。 这 种 技术 的 问题 在 于 它 仅 仅 是 密码 (参见 1.2 节 )， 没 有 密 钥 ， 安 全 性 依赖 于 算 
法 的 保密 性 。 

Gustavus Simmons 发 明了 传统 数字 签名 算法 中 羡 下 信道 的 概念 中 。 由 于 阐 下 消息 
隐藏 在 看 似 正常 的 数字 签名 的 文本 中 ， 所 以 这 是 一 种 迷惑 人 的 形式 。Walter 看 到 来 回 传递 
的 已 签名 的 无 害 消 息 ， 但 他 完全 看 不 到 通过 阔 下 信道 传递 的 消息 。 事 实 上 ， 靖 下 信道 签名 算 
法 与 通常 的 签名 算法 不 能 区 别 ， 至 少 对 Walter 是 这 样 。Walter 不 仅 不 能 读 立 下 信道 消息 ， 
而 且 他 也 不 知道 冰 下 信道 消息 已 经 出 现 。 

一 般 来 说 ， 协 议 按 如 下 步 又 执行 : 

(1) Alice 产生 一 个 无 害 消息 ， 最 好 是 随机 的 。 

(2) 用 与 Bob 共享 的 秘密 密 钥 ，Alice 对 这 个 无 害 消 息 签名 ， 她 在 签名 中 隐藏 她 的 闽 下 
消息 〈 这 是 阔 下 信道 协议 的 内 容 ， 参 见 23. 3 47). 

(3) Alice 通过 Walter 发 送 签名 消息 给 Bob. 

(4) Walter 读 这 份 无 害 的 消息 并 检查 签名 ， 没 发 现 什么 问题 ， 他 将 这 份 签 名 的 消息 传 
递 给 Bob. 

(5) Bob 检查 这 份 无 害 消息 的 签名 ， 确 认 消 息 来 自 于 Alice, 

(6) Bob 忽略 无 害 的 消息 ， 而 用 他 与 Alice ESM MRA, HRA PHA. 

怎样 欺骗 呢 ? Walter 不 相信 任何 人 ， 别 的 人 也 不 相信 他 。 他 可 以 阻止 通信 ， 但 他 没 法 
构造 虚假 消息 。 由 于 他 没 法 产生 任何 有 效 的 签名 ， 所 以 Bob 将 在 第 (5) 步 中 检测 出 他 的 意 
图 。 并 且 由 于 他 不 知道 共享 密 钥 ， 所 以 他 没 法 阅读 阐 下 消息 。 更 重要 的 是 ， 他 不 知道 阐 下 消 
息 在 哪里 。 用 数字 签名 算法 签名 后 的 消息 与 舱 入 签名 中 的 阅 下 消息 看 上 去 没有 什么 不 同 。 

Alice 和 Bob 之 间 的 欺骗 问题 就 更 多 。 在 阔 下 信道 的 一 些 实现 中 ，Bob 需要 从 阔 下 信道 
读 的 秘密 消息 与 Alice 需要 签名 的 无 害 消 息 是 相同 的 。 如 果 这 样 ，Bob 能 够 冒充 Alice。 他 能 
对 消息 签名 声称 该 消息 来 源 于 她 ， 而 对 此 Alice 无 能 为 力 。 如 果 她 要 给 他 发 送 冰 下 消息 ， 她 
不 得 不 相信 他 不 会 滥用 她 的 私人 密 钥 。 

其 他 立 下 信道 实现 中 没有 这 个 问题 。 由 Alice 和 Bob 共享 的 秘密 密 钥 允许 Alice 给 Bob 
BRB PIR. (Aix SRA Alice 的 私人 密 钥 不 同 ， 并 且 不 允许 Bob 对 消息 签名 。Alice 
也 就 不 必 相 信 Bob 不 会 滥用 她 的 私人 密 铀 了 。 


4.2.1 阅 下 信道 的 应 用 


浆 下 信道 最 常见 的 应 用 是 在 间谍 网 中 。 如 果 每 人 都 收发 签名 消息 ， 间 谍 在 签名 文件 中 发 
送 阐 下 消息 就 不 会 被 注意 到 。 当 然 ， 敌 方 的 间谍 也 可 以 做 同样 的 事 。 

用 一 个 立 下 信道 ，Alice 可 以 在 受到 威胁 时 安全 地 对 文件 签名 。 她 可 以 在 签名 文件 时 髓 
ABD RTA. 说 “我 被 胁迫 ”。 其 他 应 用 则 更 为 微妙 ， 公 司 可 以 签名 文件 ， 舱 入 阅 下 消息 ， 
允许 它们 在 整个 文档 有 效 期 内 被 跟踪 ; 政府 可 以 “标记 ”数字 货币 ; 恶意 的 签名 程序 可 能 泄 
露 其 签名 中 的 秘密 消息 。 其 可 能 性 是 无 穷 的 。 


4.2.2 杜绝 阅 下 的 签名 


Alice 和 Bob 互相 发 送 签名 消息 ， 协 商 合同 的 条 款 。 他 们 使 用 数字 签名 协议 。 然 而 ， 这 
个 合同 谈判 是 用 来 掩护 Alice 和 Bob 的 间谍 活动 的 。 当 他 们 使 用 数字 签名 算法 时 ， 他 们 不 关 
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心 所 签名 的 消息 ， 而 是 利用 签名 中 的 阔 下 信道 彼此 传送 秘密 消息 。 然 而 ， 反 间谍 机 构 不 知道 
合同 谈判 以 及 签名 消息 的 应 用 只 是 表面 现象 。 因 此 人 们 创立 了 杜绝 阐 下 的 签名 方案 (sub- 
liminal-free signature scheme) 。 这 些 数字 签名 方案 不 能 被 修改 使 其 包含 阔 下 信道 。 细 节 见 
[480, 481]. 


4.3 不 可 抵赖 的 数字 签名 


一 般 的 数字 签名 能 够 被 准确 地 复制 。 这 个 性 质 有 时 是 有 用 的 ， 比 如 公开 宣传 品 的 发 布 。 
而 在 其 他 时 间 ， 它 可 能 有 问题 。 想 象 数字 签名 的 私人 或 商业 信件 。 如 果 到 处 散布 那个 文件 的 
许多 拷贝 ， 而 每 个 拷贝 又 能 够 被 任何 人 验证 ， 这 样 可 能 会 导致 窘迫 或 勒索 。 最 好 的 解决 方案 
是 数字 签名 能 够 被 证 明 是 有 效 的 ， 但 没有 签名 者 的 同意 接收 者 不 能 把 它 给 第 三 方 看 。 

Alice 软件 公司 发 布 了 DEW (Do-Everything-Word) 软件 。 为 了 确信 软件 中 不 带 病毒 ， 
他 们 在 每 个 拷贝 中 包括 一 个 数字 签名 。 然 而 ， 他 们 只 想 软 件 的 合法 买主 能 够 验证 数字 签名 ， 
盗版 者 则 不 能 。 同 时 ， 如 果 DEW 拷贝 中 发 现 有 病毒 ，Alice 软件 公司 也 不 能 否认 有 效 的 数 
字 签 名 。 

不 可 抵赖 签名 Cundeniable signature)L353.3271 适 合 于 这 类 任务 。 类 似 于 一 般 的 数字 签名 ， 
不 可 抵赖 签名 也 依赖 于 签名 的 文件 和 签名 者 的 私人 密 钥 。 但 不 同 的 是 ， 不 可 抵赖 签名 没有 得 
到 签名 者 同意 就 不 能 被 验证 。 虽 然 对 这 些 签名 ， 用 像 “ 不 可 改变 的 签名 ”一 类 的 名 称 更 好 ， 
但 这 个 名 称 的 由 来 是 ， 如 果 Alice 被 强迫 承认 或 抵赖 一 个 签名 (很 可 能 在 法 庭 上 )， 她 不 能 
否认 她 的 真实 签名 。 

数学 描述 很 复杂 ， 但 其 基本 思想 很 简单 : 

(1) Alice 向 Bob 出 示 一 个 签名 。 

(2) Bob 产生 一 个 随机 数 并 送 给 Alice. 

(3) Alice 利用 随机 数 和 其 私人 密 钥 进 行 计 算 ， 将 计算 结果 送 给 Bob. Alice 只 能 计算 该 
签名 是 否 有 效 。 

(4) Bob 确认 这 个 结果 。 

还 有 其 他 的 协议 ， 以 便 Alice 能 够 证 明 她 没有 对 文件 签名 ， 同 时 也 不 能 虚伪 地 否认 签名 。 

Bob 不 能 转 而 让 Carol 确信 Alice 的 签名 是 有 效 的 ， 因 为 Carol 不 知道 Bob 的 数字 是 随 
机 数 。Bob 很 容易 在 纸 文件 上 完成 这 个 协议 ， 而 不 用 Alice 的 任何 帮助 ， 然 后 将 结果 出 示 给 
Carol, Carol 只 有 在 她 与 Alice 本 人 完成 这 个 协议 后 才能 确信 Alice 的 签名 是 有 效 的 。 现 在 
或 许 没 有 什么 意义 ， 但 是 一 旦 你 明白 23. 4 节 介 绍 的 数学 原理 ， 就 会 显而易见 了 。 

这 个 解决 方法 并 不 完善 ，Yvo Desmedt 和 Moti Yung 研究 表明 ， 在 某 些 情况 下 ，Bob 让 
Carol 确信 Alice 的 签名 有 效 是 可 能 的 |。 

例如 ，Bob KT DEW 的 一 个 合法 拷贝 ， 他 能 在 任何 时 候 验 证 软件 包 的 签名 。 然 后 ， 
Bob 使 Carol 相信 他 是 来 自 Alice 软件 公司 的 销售 商 。 他 卖 给 她 一 个 DEW 的 盗版 。 当 Carol 
试图 验证 Bob 的 签名 时 ， 他 同时 要 验证 Alice 的 签名 。 当 Carol 发 给 Bob 随机 数 时 ，Bob 然 
后 把 它 送 给 Alice。 当 Alice 响应 后 ，Bob 就 将 响应 送 给 Carol, FÆ Carol 相信 她 自己 是 该 
软件 的 合法 买主 ， 尽 管 她 并 不 是 。 这 种 攻击 是 象棋 大 师 问 题 的 一 个 例子 ,在 5. 2 节 中 有 详细 
的 讨论 。 

即使 如 此 ， 不 可 抵赖 签名 仍 有 许多 应 用 ， 在 很 多 情况 中 ，Alice 不 想 任 何人 能 够 验证 她 
的 签名 。 她 不 想 她 的 个 人 通信 被 媒体 核实 、 展 示 并 从 文中 查 对 ， 或 者 甚至 在 事情 已 经 改变 后 
被 验证 。 如 果 她 对 卖 出 的 消息 签名 ， 她 不 希望 没有 对 消息 付 钱 的 那些 人 能 够 验证 它 的 真实 
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性 。 控 制 谁 验 证 她 的 签名 是 Alice 保护 她 的 个 人 隐私 的 一 种 方法 。 

不 可 抵赖 签名 的 一 种 变化 是 把 签名 者 与 消息 之 间 的 关系 与 签名 者 与 签名 之 间 的 关系 分 
开 ”"" 。 在 这 种 签名 方案 中 ,任何 人 都 能 够 验证 实际 产生 签名 的 签名 者 ， 但 签名 者 的 合作 者 
还 需要 验证 该 消息 的 签名 是 有 效 的 。 

相关 的 概念 是 受托 不 可 抵赖 签名 (entrusted undeniable signature) ™ 。 设 想 Alice 为 
Toxins 公司 工作 ， 并 使 用 不 可 抵赖 签名 协议 发 送 控 告 文件 给 报社 。Alice 能 够 对 报社 记者 验 
证 她 的 签名 ， 但 不 向 其 他 任何 人 验证 签名 。 然 而 执行 总 裁 Bob 怀疑 文件 是 Alice 提供 的 ， 他 
BEAR Alice 执行 和 否认 协议 来 澄清 她 的 名 字 ，Alice 拒绝 了 。Bob 认为 Alice 不 得 不 拒绝 的 唯一 
理由 是 她 有 罪 ， 于 是 便 解 雇 她 。 

除了 否认 协议 只 能 由 Trent 执行 外 ， 受 托 不 可 抵赖 签名 类 似 于 不 可 抵赖 签名 。Bob 不 能 
要 求 Alice 执行 否认 协议 ， 只 有 Trent JE. WR Trent 是 法 院 系统 ， 那 么 他 将 只 执行 协议 
去 解决 正式 的 争端 。 


4.4 指定 的 确认 者 签名 

Alice 软件 公司 销售 DEW 软件 的 生意 非常 兴隆 ， 事 实 上 ，Alice 验证 不 可 抵赖 签名 花费 
的 时 间 比 编写 新 功能 部 件 花 费 的 时 间 更 多 。 

Alice 很 希望 有 一 种 办 法 可 以 在 公司 中 指定 一 个 特殊 的 人 负责 对 整个 公司 的 签名 验证 。 
Alice 或 任何 其 他 程序 员 能 够 用 不 可 抵赖 协议 对 文件 签名 。 但 是 所 有 的 验证 都 由 Carol 处 理 。 

结果 表明 ， 用 指定 的 确认 者 签名 (designated confirmer signature)? 2] E nj ÍF Hj. 
Alice 能 够 对 文件 签名 ， 而 Bob 相信 签名 是 有 效 的 ， 但 他 不 能 使 第 三 方 相 信 。 同 时 ，Alice 能 
够 指定 Carol 作为 其 签名 的 确认 者 。Alice 甚至 事先 不 需要 得 到 Carol 的 同意 ， 她 只 需要 Carol 
的 公开 密 钥 。 如 果 Alice 不 在 家 、 已 经 离开 公司 ， 或 者 突然 死亡 了 ，Carol 仍然 能 够 验证 Al- 
ice 的 签名 。 

指定 的 确认 者 签名 是 标准 的 数字 签名 和 不 可 抵赖 签名 的 折 中 。 和 肯定 有 一 些 场合 Alice 可 
能 想 要 限制 能 验证 其 签名 的 人 。 男 一 方面 ,假设 Alice 完全 控制 破坏 了 签名 的 可 实施 性 : 
Alice 可 能 在 确认 或 否认 方面 拒绝 合作 ， 她 可 能 声称 用 于 确认 或 否认 的 密 钥 丢 失 了 ， 或 者 她 
可 能 正好 身份 不 明 。 指 定 的 确认 者 签名 让 Alice 既 能 保护 不 可 抵赖 签名 ， 同 时 又 不 让 她 滥用 
这 种 保护 。Alice 可 能 更 喜欢 以 下 方式 : 指定 的 确认 者 签名 能 够 帮助 她 防止 错误 的 应 用 ， 如 
果 她 确实 丢失 了 密 钥 ， 可 以 保护 她 ; 如 果 她 是 在 度假 、 在 医院 ， 甚 至 死 了 ， 也 可 以 插手 
Fie 

这 种 想法 有 各 种 可 能 的 应 用 。Carol 能 够 把 她 自己 作为 公证 人 公开 。 她 能 够 在 某 些 地 方 
的 某 些 目录 中 发 布 她 的 公开 密 钥 ， 人 们 能 够 指定 她 作为 他 们 签名 的 确认 人 。 她 向 大 众 收取 少 
量 的 签名 确认 费用 ， 这 使 她 可 以 生活 得 很 好 。 

Carol 可 能 是 版 权 事务 所 、 政 府 机 构 或 其 他 很 多 机 构 。 这 个 协议 允许 组 织 机 构 把 签署 文 
件 的 人 与 帮助 验证 签名 的 人 分 开 。 


4.5 代理 签名 

指定 的 确认 者 签名 允许 签名 者 指定 其 他 某 个 人 来 验证 他 的 签名 。 例 如 ，Alice 需要 到 一 些 
地 方 进行 商业 旅行 ， 这 些 地 方 不 能 很 好 地 访问 计算 机 网 络 (例如 非洲 从 林 )， 或 者 也 许 她 在 大 
手术 后 ， 无 能 为 力 。 她 希望 接收 一 些 重要 的 电子 邮件 ， 并 指示 她 的 秘书 Bob 做 相应 的 回信 。 
Alice 在 不 把 她 的 私人 密 钥 给 Bob 的 情况 下 ， 该 如 何 让 Bob 行使 她 的 消息 签名 的 权利 呢 ? 
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代理 签名 (proxy signature) 是 一 种 解决 方案 。Alice 可 以 给 Bob 代理 ， 这 种 代理 
具有 下 面 的 特性 : 


可 区 别 性 (distinguishability)。 任 何人 都 可 区 别 代理 签名 和 正常 签名 。 

不 可 伪造 性 〈unforgeability) 。 只 有 原始 签名 者 和 指定 的 代理 签名 者 能 够 产生 有 效 的 
代理 签名 。 

代理 签名 者 的 不 符合 性 (proxy signer’s deviation) 。 代 理 签名 者 必须 创建 一 个 能 检 
测 代理 签名 的 有 效 代理 签名 。 

可 验证 性 (verifiability)。 从 代理 签名 中 ， 验 证 者 能 够 相信 原始 的 签名 者 认同 了 这 份 
签名 消息 。 

可 识别 性 〈identifiability)。 原 始 签名 者 能 够 从 代理 签名 中 识别 代理 签名 者 的 吴 份 。 

不 可 抵赖 性 〈undeniability) 。 代 理 签名 者 不 能 否认 他 创建 的 且 被 认可 的 代理 签名 。 


在 某 些 情况 中 ， 需 要 更 强 的 可 识别 性 形式 ， 即 任何 人 都 能 从 代理 签名 中 确定 代理 签名 者 
的 身份 。 基 于 不 同 数字 签名 方案 的 代理 签名 方案 在 [1001] 中 有 描述 。 


4.6 团体 签名 
David Chaum 在 [330] 中 提出 了 下 述 问 题 ; 


一 个 公司 有 多 台 计 算 机 ， 每 台 都 连接 在 局 域 网 上 。 公 司 的 每 个 部 门 有 自己 的 打 


印 机 (也 连接 在 局 域 网 上 )， 并 且 只 有 本 部 门 的 人 员 才 被 允许 使 用 他 们 部 门 的 打印 
机 。 因 此 ， 打 印 前 ， 必 须 使 打印 机 确信 用 户 在 那个 部 门 工 作 。 同 时 ， 公 司 想 保密 ， 
不 可 以 暴露 用 户 的 姓名 。 然 而 ， 如 果 有 人 在 当天 结束 时 发 现 打 印 机 用 得 太 频繁 ， 主 
管 者 必须 能 够 找 出 谁 滥用 了 那 台 打印 机 ， 并 给 他 一 个 账单 。 


对 这 个 问题 的 解决 方法 称 为 团体 签名 Cgroup signature)。 它 具有 以 下 特性 : 
。 只 有 该 团体 内 的 成 员 能 对 消息 签名 。 

。 签名 的 接收 者 能 够 证 实 消息 是 该 团体 的 有 效 签 名 。 

。 签名 的 接收 者 不 能 决定 是 该 团体 内 哪 一 个 成 员 的 签名 。 

。 在 出 现 争议 时 ， 签 名 能 够 被 “打开 ”， 以 揭示 签名 者 的 身份 。 


具有 可 信 仲 裁 者 的 团体 签名 


本 协议 使 用 可 信 仲 裁 者 : 


(1) Trent 产生 大 量 公 开 密 钥 / 私 人 密 钥 密 钥 对 ， 并 且 给 团体 内 的 每 个 成 员 一 个 不 同 的 
唯一 私 钥 表 。 在 任何 表 中 密 钥 都 是 不 同 的 (如 果 团 体内 有 个 成 员 ， 
钥 对 ， 那么 总 共有 nXm 个 密 钥 对 )。 

(2) Trent 以 随机 顺序 公开 该 团体 所 用 的 公开 密 钥 主 表 。Trent 保持 一 个 哪些 密 钥 属于 
谁 的 秘密 记录 。 


(3) 当 团体 内 成 员 想 对 一 个 文件 签名 时 ， 他 从 自己 的 密 钥 表 中 随机 选取 一 个 密 钥 。 
(4) 当 有 人 想 验 证 签名 是 否 属于 该 团体 时 ， 只 需 查 找 对 应 公开 密 钥 主 表 并 验证 签名 。 
(5) 当 争 议 发 生 时 ，Trent 知道 哪个 公开 密 钥 对 应 于 哪个 成 员 。 


这 个 协议 的 问题 在 于 需要 可 信和 的 一 方 。Trent 知道 每 个 人 的 私人 密 钥 因而 能 够 伪造 签 


。 而 且 ，m 必须 足够 长 以 避免 试图 分 析出 每 个 成 员 用 的 是 哪个 密 钥 。 


每 个 成 员 得 到 m 个 密 
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另 一 些 协议 甚至 不 需要 Trent。 另 一 个 协议 5 不 仅 隐 藏 了 签名 者 的 身份 ， 而 且 人 允许 新 成 员 
加 入 团体 内 。 在 [1230] 中 还 描述 了 另 一 个 协议 。 


4.7 失败 -终止 数字 签名 


让 我 们 假想 Eve 是 非常 强劲 的 敌人 。 她 有 巨大 的 计算 机 网 络 和 很 多 装 满 了 Cray 计算 机 
的 屋子 (计算 机 能 力 比 Alice 大 许多 量 级 ) 。 这 些 计算 机 昼夜 工作 试图 破译 Alice 的 私人 密 
钥 ， 最 终 成 功 了 。Eve 现在 就 能 够 冒充 Alice， 随 意 地 在 文件 上 伪造 她 的 签名 。 

由 Birgit Pfitzmann 和 Michael Waidnert240 引 入 的 失败 -终止 数字 签名 fail-stop digital 
signa ture) 就 能 避免 这 种 欺诈 。 如 果 Eve 在 穷 举 攻击 后 伪造 Alice 的 签名 ， 那 么 Alice 能 够 
证 明 它 们 都 是 伪造 的 。 如 果 Alice 对 文件 签名 ， 然 后 否认 签名 ， 声 称 是 伪造 的 ， 法 院 能 够 验 
证 它 不 是 伪造 的 。 

失败 -终止 签名 的 基本 原理 是 : 对 于 每 个 可 能 的 公开 密 钥 ， 许 多 可 能 的 私人 密 钥 和 它 一 
起 工作 。 这 些 私 人 密 钥 中 的 每 一 个 产生 许多 不 同 的 可 能 的 签名 。 然 而 ，Alice 只 有 一 个 私人 
密 钥 ， 只 能 计算 一 个 签名 。Alice 并 不 知道 其 他 任何 私人 密 钥 。 

Eve 试图 破解 Alice 的 私人 密 钥 。 (在 这 种 情况 下 ，Eve 也 可 能 是 Alice， 试 图 为 她 自己 
计算 第 二 个 私人 密 钥 。) 她 收集 签名 消息 ， 并 且 利 用 她 的 Cray 计算 机 阵列 ， 试 图 恢复 Alice 
的 私人 密 钥 。 即 使 Eve 能 够 恢复 一 个 有 效 的 私人 密 钥 ， 但 因为 有 许多 可 能 的 私人 密 钥 ， 所 
以 这 个 私人 密 钥 可 能 是 不 同 的 一 个 。Eve 恢复 合适 的 私人 密 钥 的 概率 非常 小 ,可 以 忽略 
不 计 。 

现在 ， 当 Eve 利用 她 产生 的 私人 密 钥 伪造 签名 时 ， 它 将 不 同 于 Alice 本 人 对 文件 的 签 
名 。 当 Alice 被 传 到 法 院 时 ， 对 同一 个 消息 和 公开 密 钥 她 能 够 产生 两 个 不 同 的 签名 〈 对 应 于 
她 的 私人 密 钥 以 及 Eve 产生 的 私人 密 钥 ) 以 证 明 是 伪造 的 。 另 一 方面 ， 如 果 Alice 不 能 产生 
两 个 不 同 的 签名 ， 这 时 没有 伪造 ，Alice 就 要 对 她 的 签名 负责 。 

这 个 签名 方案 避免 了 Eve 通过 巨大 的 计算 能 力 来 破译 Alice 签名 的 方案 。 它 对 下 面 这 种 
更 有 可 能 发 生 的 攻击 却 无 能 为 力 : 当 Mallory FJ A Alice 的 住宅 并 偷 神 她 的 私人 密 钥 或 者 
Alice 签 署 了 一 个 文件 然后 却 丢 失 了 她 的 私人 密 钥 时 。 为 了 防止 前 一 种 攻击 ，Alice 应 该 给 她 
自己 买 条 好 的 看 门 狗 ， 这 种 事情 已 超出 了 密码 学 的 范围 。 

其 他 的 关于 失败 -终止 签名 的 理论 和 应 用 能 在 [1239、1241、730、731] 中 能 找到 。 


4.8 加 密 数 据 计 算 

Alice 想 知道 某 个 函数 f(x) 对 某 些 特殊 的 工 值 的 解 。 不 幸 的 是 ， 她 的 计算 机 坏 了 ， 
Bob 愿意 为 她 计算 f(r), 但 Alice 又 不 想 让 Bob 知道 她 的 x。 怎样 做 Alice 才能 在 不 让 Bob 
知道 z 的 情况 下 为 她 计算 f(x) 呢 ? 

这 是 加 密 数据 计算 (computing with encrypted data) 的 一 般 问题 ， 也 称 为 对 先知 隐藏 
信息 (hiding information from an oracle) 问题 。 (Bob 是 先知 ， 他 回答 问题 .) 对 某 些 函数 
来 说 ， 有 许多 方法 能 够 解决 这 个 问题 ， 将 在 23. 6 节 中 讨论 。 


4.9 位 承诺 


Alice， 这 位 令 人 惊异 的 魔术 天 才 ， 正 表演 关于 人 类 意念 的 神秘 技巧 。 她 将 在 Bob 选 牌 
之 前 猜 中 Bob 将 选 的 牌 ! 注意 Alice 在 一 张 纸 上 写 出 她 的 预测 。Alice 很 神秘 地 将 那 张 纸 片 
装 和 信封 中 并 封 上 。 就 在 人 们 吃惊 之 时 ，Alice 将 封 好 的 信封 随机 地 弟 给 一 名 观众 。“ 取 一 张 
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牌 ，Bob， 任 选 一 张 。”Bob 看 了 看 牌 而 后 将 之 出 示 给 Alice 和 观众 。 是 方块 7。 现 在 Alice 
从 观众 那里 取 回 信封 ， 撕 开 它 。 在 Bob 选 牌 之 先 写 的 预测 也 是 方块 7! 全 场 欢 呼 ! 

这 个 魔术 的 要 点 在 于 ，Alice 在 戏法 的 最 后 交换 了 信封 。 然 而 ， 密 码 协 议 能 够 提供 防止 
这 种 花招 的 方法 。 这 有 什么 用 ?下 面 是 一 个 更 实际 的 故事 : 


受 票 经 纪 人 Alice 想 说 服 投资 商 Bob 她 的 选取 赢利 股票 的 方法 很 不 错 。 

Bob 说 :“ 给 我 选 5 只 股票 ， 如 果 都 赢利 ， 我 将 把 生意 给 你 。 

Alice 说 :“ 如 果 我 为 你 选 了 5 只 股票 ， 你 可 以 自己 对 他 们 投资 ， 而 不 用 给 我 付 
款 。 我 为 什么 不 向 你 出 示 我 上 月 选 的 股票 呢 ?” 

Bob:“ 我 怎样 知道 你 在 了 解 了 上 月 股票 的 收益 后 没 改 变 你 上 月 选择 的 股票 呢 ? 
如 果 你 现在 告诉 我 你 选 的 股票 ， 我 就 可 以 知道 你 不 能 改变 他 们 。 在 我 买 你 的 方法 以 
前 我 不 在 这 些 股票 中 投资 。 相 信 我 。 

Alice:“ 我 宁愿 告诉 你 我 上 月 选择 的 股票 。 我 不 会 变 ， 相 信 我 。 


Alice 想 对 Bob 承诺 一 个 预测 CB 1 位 或 位 序列 ) ， 但 直到 某 个 时 间 以 后 才 揭示 她 的 预 
测 。 而 另 一 方面 ，Bob 想 确 信 在 Alice 承诺 了 她 的 预测 后 ， 她 没有 改变 她 的 想法 。 


4.9.1 使 用 对 称 密码 系统 的 位 承诺 

这 个 位 承诺 协议 使 用 对 称 密码 系统 : 

(1) Bob 产生 一 个 随机 位 串 RR 并 把 它 发 送 给 Alice: R, 

(2) Alice 产生 一 个 由 她 想 承 诺 的 位 5 组 成 的 消息 (实际 上 可 能 是 多 位 ) 和 Bob 的 随 
机 串 。 她 用 某 个 随机 密 钥 K 对 它 加 密 ， 并 将 结果 送 回 给 Bob: Ex(R, 6). 

这 是 这 个 协议 的 承诺 部 分 ，Bob 不 能 解密 消息 ， 因 而 不 知道 位 是 什么 。 

当 到 了 Alice 揭示 她 的 位 的 时 候 ， 协 议 继续 : 

(3) Alice 发 送 密 钥 给 Bob, 

(4) Bob 解密 消息 以 揭示 位 。 他 检测 他 的 随机 串 以 证 实 位 的 有 效 性 。 

如 果 消 息 不 包含 Bob 的 随机 串 ，Alice 能 够 秘密 地 用 一 系列 密 钥 解密 她 交 给 Bob 的 消 
息 ， 直 到 找到 一 个 给 她 的 位 ， 而 不 是 她 承诺 的 位 。 由 于 位 只 有 两 种 可 能 的 值 ， 她 只 需 试 几 次 
肯定 可 以 找到 一 个 。Bob 的 随机 串 避 免 了 这 种 攻击 ， 她 必须 能 找到 一 个 新 的 消息 ， 这 个 消息 
不 仅 使 她 的 位 反 转 ， 而 且 使 Bob 的 随机 串 准 确 地 重新 产生 。 如 果 加 密 算 法 好 ， 她 发 现 这 种 
消息 的 机 会 是 极 小 的 。Alice 不 能 在 她 承诺 后 改变 她 的 位 。 


4.9.2 使 用 单 向 函数 的 位 承诺 

本 协议 利用 单 向 函数 ; 

(1) Alice 产 生 两 个 随机 位 串 : Ri, Re. 

(2) Alice 产生 消息 ， 该 消息 由 她 的 随机 串 和 她 希望 承诺 的 位 〈 实 际 上 可 能 是 几 位 ) 组 
成 : (Ris Re Ws 

(3) Alice 计算 消息 的 单 向 函数 值 ， 将 结果 以 及 其 中 一 个 随机 串 发 送 给 Bob: H (Ri， 
Ras Be Rie 

这 个 来 自 Alice 的 传送 就 是 承诺 证 据 。Alice 在 第 (3) 步 使 用 单 向 函数 阻止 Bob 对 函数 
求 逆 并 确定 这 个 位 。 

当 到 了 要 Alice 揭示 她 的 位 的 时 候 ， 协 议 继续 : 
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(4) Alice 将 原 消 息 发 给 Bob: (Ri, Ri; b). 

(5) Bob 计算 消息 的 单 向 函数 值 ， 并 将 该 值 和 R 与 原先 收 到 的 值 和 随机 串 比 较 。 如 匹 
配 ， 则 位 有 效 。 

这 个 协议 较 前 面 协议 的 优点 在 于 Bob 不 必 发 送 任何 消息 。 只 需 Alice 发 送 给 Bob 一 个 对 
位 承诺 的 消息 ， 以 及 另 一 揭示 该 位 的 消息 。 

这 里 不 需要 Bob 的 随机 串 ， 因 为 Alice 承诺 的 结果 是 对 消息 进行 单 向 函数 变换 得 到 的 。 
Alice 不 可 能 欺骗 ， 并 找到 另 一 个 消息 CR, R's 6, UWE HOR. R's 6 =(R\, R, b), 
通过 发 给 Bob 随机 位 串 Ri, Alice 对 2 的 值 做 了 承诺 。 如 果 Alice 不 保持 R: 是 秘密 的 ， 那 么 
Bob 能 够 计算 出 HR, Ra, 6') 和 (CR，R ，0)， 并 比较 哪 一 个 等 于 他 从 Alice 那里 接收 
的 值 。 


4.9.3 使 用 伪 随 机 序列 发 生 器 的 位 承诺 
AS PA BOM , 
(1) Bob 产生 随机 位 串 ， 并 送 给 Alice: Re. 
(2) Alice 为 伪 随 机 位 发 生 器 产生 一 个 随机 种 子 。 然 后 ， 对 Bob 随机 位 串 中 的 每 一 位 ， 
她 回 送 Bob 下 面 两 个 中 的 一 个 : 
(a) 如果 Bob 的 位 为 0， 则 为 发 生 器 的 输出 。 
Cb) 如 果 Bob 的 位 为 1， 则 为 发 生 器 输出 与 她 的 位 的 异 或 。 
当 到 了 Alice 出 示 她 的 位 的 时 候 ， 协 议 继续 : 
(3) Alice 将 随机 种 子 送 给 Bob, 
(4) Bob 确认 Alice 的 行动 是 合理 的 。 
如 果 Bob 的 随机 位 串 足 够 长 ， 伪 随机 位 发 生 器 就 不 可 预测 ， 这 时 Alice 就 没有 有 效 的 方 
法 进行 欺诈 。 


4.9.4 模糊 点 


Alice 发 送 给 Bob 以 便 对 位 承诺 的 串 有 时 又 叫做 模糊 点 〈blob) 。 一 个 模糊 点 是 一 个 位 序 
列 ， 虽然 在 协议 中 没有 说 明 它 为 什么 必须 这 样 ， 正 如 Gilles Brassard 所 说 的 , “只 要 是 合理 
存在 的 就 是 有 用 的 ”2 9 。 模 糊 点 有 下 面 四 个 特性 : 

(1) Alice 能 够 对 模糊 点 承诺 ， 通 过 承诺 模糊 点 来 承诺 一 位 。 

(2) Alice 能 够 打开 她 所 承诺 的 任何 模糊 点 。 当 她 打开 模糊 点 时 ， 她 能 让 Bob 相信 在 她 
对 模糊 点 承诺 时 她 所 承诺 的 位 值 。 因 此 ， 她 不 能 选择 把 任何 模糊 点 作为 0 或 1 打开 。 

(3) Bob 不 知道 Alice 如 何 打 开 承 诺 了 的 但 尚未 打开 的 模糊 点 。 即 使 Alice 打开 其 他 模 
糊 点 之 后 ， 也 是 如 此 。 

(4) 模糊 点 所 带 的 消息 除了 Alice 承诺 的 位 外 ， 不 再 有 任何 信息 。 模 糊 点 本 身 ， 连 同 
Alice 的 承诺 和 开启 模糊 点 的 过 程 ， 与 Alice 希望 对 Bob 保密 的 其 他 东西 不 相关 。 


4.10 ”公平 的 硬币 抛掷 
是 Joe Kilian!” Ypi E WHE T : 


Alice 和 Bob A Jae — AAP ABA, LRA R E AA TH, Alice 提 
出 一 个 用 思维 来 抛 搬 公 平 硬 币 的 简单 方法 。“ 首 先 ， 你 想 一 个 随机 位 ， 然 后 我 再 想 
一 个 随机 位 ， 我 们 将 这 两 个 位 进行 异 或 。”Alice 建议 。 
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“但 如 果 我 们 中 有 人 不 随机 抛掷 硬币 怎么 办 呢 ?”Bob 问 道 。 

“这 无 关 紧 要 ， 只 要 这 些 位 中 的 一 个 是 真正 随机 的 ， 它 们 异 或 应 该 也 是 真正 随 
puny.” Alice 这 样 回答 。 经 过 思考 后 ，Bob 同意 了 。 

Kit $A, Alice 和 Bob 碰 到 一 本 关于 人 工 智 能 的 书 ， 这 本 书 被 丢弃 在 路 淮 。 
优秀 公民 Alice 说 :“ 我 们 中 有 一 个 必须 拒 起 这 本 书 ， 并 找到 一 个 合适 的 垃圾 箱 。” 
Bob 同意 并 提议 用 抛 币 协议 来 决定 谁 必 须 将 这 本 书 扔 掉 。 

“如 果 最 后 的 位 是 “0?， 那 么 你 必须 拒 起 那 本 书 ; 如 果 是 “1 ”， 那 我 必须 那样 
做 。”Alice 说 。“ 你 的 位 是 什么 ?2 

Bob 答 道 :“1。?” 

“为 什么 ， 我 的 也 是 1,”Alice 顽皮 地 说 ,“ 我 猜想 今天 不 是 你 的 幸运 日 。” 

不 用 说 ， 这 个 抛 币 协议 有 严重 的 缺陷 ， 真 正 随机 的 位 工 与 任意 独立 分 配 的 位 y 
异 或 仍 得 到 真正 随机 的 位 。Alice 的 协议 不 能 保证 两 个 位 是 独立 分 布 的 。 事实 上 ， 
不 难 验 证 不 存在 能 让 两 个 能 力 无 限 的 团体 公平 抛 币 的 思维 协议 。Alice 和 Bob 在 收 
到 来 自 密码 学 方面 的 一 个 无 名 研究 生 的 一 封 信 后 才 走 出 了 困境 。 信 上 的 信息 抽象 得 
对 任何 人 都 不 会 有 用 ， 但 随 信用 的 信封 却 是 随手 可 得 的 。 

接 下 来 ，Alice 和 Bob 希望 抛 币 ， 他 们 对 原 协 议 版 本 进行 了 修改 。 首 先 ，Bob 
确定 一 位 ， 但 这 次 他 不 立即 宣布 ， 只 是 将 它 写 在 纸 上 ， 并 装 入 信封 中 。 接 下 来 ， 
Alice 公布 她 选 的 位 。 最 后 ，Alice 和 Bob 从 信封 中 取出 Bob 的 位 并 计算 随机 位 。 
只 要 至 少 一 方 诚实 地 执行 协议 ， 这 位 的 确 是 真正 随机 的 。Alice 和 Bob 有 了 这 个 可 
以 工作 的 协议 ， 密 码 学 家 梦想 的 社会 关系 实现 了 ， 他 们 从 那 以 后 过 得 很 愉快 。 


那些 信封 很 像 位 承诺 模糊 点 。 当 Manuel Blum 通过 调制 解 调 器 引入 抛掷 公平 硬币 问题 
pO ， 他 利用 位 承诺 协议 解决 了 此 问题 : 

(1) Alice 利用 在 4.9 节 中 所 列 的 任意 一 个 位 承诺 方案 ， 对 一 个 随机 位 承诺 。 

(2) Bob 试图 去 猜测 这 位 。 

(3) Alice 出 示 这 位 给 Bob， 如 果 Bob 正确 地 猜 出 这 位 ， 他 就 赢得 了 这 次 抛 币 。 

一 般 来 说 ， 需 要 一 个 具有 如 下 性 质 的 协议 : 

。 Alice 必须 在 Bob 猜测 之 前 抛 币 。 

。 在 听 到 Bob 的 猜测 后 ，Alice 不 能 再 抛 币 。 

。 Bob 在 猜测 之 前 不 能 知道 硬币 怎么 落地 的 。 

以 下 几 种 方法 可 用 来 实现 具有 这 些 性 质 的 协议 。 


4. 10.1 使 用 单 向 函数 的 抛 币 协议 


如 果 Alice 和 Bob 对 使 用 单 向 函数 达成 一 致意 见 ， 协 议 非常 简单 : 

(1) Alice 选择 一 个 随机 数 zx， 她 计算 y= f(z), 这 里 f(x) 是 单 向 函数 。 

(2) Alice 将 y 送 给 Bob. 

(3) Bob 猜测 zx 是 偶数 或 奇数 ， 并 将 猜测 结果 发 送 给 Alice. 

(4) 如 果 Bob 的 猜测 正确 ， 则 抛 币 结果 为 正面 :如果 Bob 的 猜测 错误 ， 则 抛 币 的 结果 
为 反面 。Alice 公布 此 次 抛 币 的 结果 ， 并 将 z 发送 给 Bob, 

(5) Bob 确信 y= f(a). 

此 协议 的 安全 性 取决 于 单 向 函数 。 如 果 Alice ERE r Mz’, Wer ABM AA 
数 ， 且 y= 二 f(x) 二 f(x')， 那 么 她 每 次 都 能 欺骗 Bob. Fr) 没有 意义 的 位 也 必须 与 x 不 相 
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关 ， AM Bob 至 少 某 些 时 候 能 够 欺骗 Alice。 例 如 ， 如 果 z 是 偶数 ，f(zx) 产生 偶数 的 次 数 
占 75%，Bob 就 有 优势 。( 有 时 没有 意义 的 位 在 这 个 应 用 中 不 是 使 用 得 最 好 的 位 ， 因 为 它 可 
能 更 易于 计算 。) 


4.10.2 使 用 公开 密 钥 密码 系统 的 抛 币 协议 

这 个 协议 既 可 与 公开 密 钥 密码 系统 又 可 与 对 称 密码 系统 一 起 工作 。 其 唯一 要 求 是 算法 满 

足 交 换 律 ， 即 
Dx, (Ex, (Ex, »(M))) = Ex,(M) 

一 般 来 说 ， 对 对 称 算 法 这 个 特性 并 不 满足 ， 但 对 某 些 公开 密 钥 算法 是 正确 的 〈 例 如 ， 有 
相同 模 数 的 RSA 算法 ) 。 协 议 如 下 : 

(1) Alice 和 Bob 都 产生 一 个 公开 密 钥 /私人 密 钥 对 。 

(2) Alice 产生 两 个 消息 ,一 个 指示 正面 ， 男 一 个 指示 反面 。 这些 消息 中 包含 有 某 个 唯 
一 的 随机 串 ， 以 便 以 后 能 够 验证 其 在 协议 中 的 真实 性 。Alice 用 她 的 公开 密 钥 将 两 个 消息 加 
密 ， 并 以 随机 的 顺序 把 他 们 发 给 Bob: Ea (M1)，Ea(M;)。 

(3) Bob 由 于 不 能 读 懂 其 中 任意 一 消息 ， 他 随机 地 选择 一 个 。 他 用 他 的 公开 密 钥 加 密 并 
回 送 给 Alice: Es (EA(M))。 其 中 ，M 是 Mi 或 M,。 

(4) Alice 由 于 不 能 读 懂 送 回 给 她 的 消息 ， 就 用 她 的 私人 密 钥 解密 并 回 送 给 Bob: 
D,(Eg(E,(M))) =E,(M,)(M=M,) 或 Es (M;)(M=M,;), 

(5) Bob 用 他 的 私人 密 钥 解密 消息 ， 得 到 抛 币 结果 。 他 将 解密 后 的 消息 送 给 Nice: 
Dg(Eg(M,))=M, 3 Dp (E,(M,))=M,. 

(6) Alice 读 抛 币 结果 ， 并 验证 随机 串 的 正确 性 。 

(7) Alice 和 Bob 出 示人 他们 的 密 钥 对 以 便 双方 能 验证 对 方 没有 欺诈。 

这 个 协议 是 自我 实施 的 。 任 意 一 方 都 能 即时 检测 对 方 的 欺诈 ， 不 需要 可 信 的 第 三 方 介 入 
实际 的 协议 和 协议 完成 后 的 任何 仲裁 。 让 我 们 试图 欺诈 ， 看 看 协议 是 如 何 工 作 的 。 

如 果 Alice 想 欺 骗 ， 强 制 为 正面 ， 她 有 三 种 可 能 的 方法 影响 结果 。 第 一 种 方法 ， 她 可 以 
在 第 (2) 步 中 加 密 两 个 “正面 ”的 消息 。 在 第 (7) 步 Alice 出 示 她 的 密 钥 时 ，Bob 就 可 以 
发 现 这 种 欺骗 。 第 二 种 方法 ，Alice 在 第 (4) 步 时 用 一 些 其 他 的 密 钥 解密 消息 ， 将 产生 一 些 
乱七八糟 的 无 用 消息 ，Bob 可 在 第 (5) 步 中 发 现 。 第 三 种 方法 ，Alice 可 在 第 (6) 步 中 否 
认 消 息 的 有 效 性 ， 当 在 第 (7) 步 中 Alice 不 能 证 明 消 息 无 效 时 ，Bob 就 可 以 发 现 。 当 然 ， 
Alice 可 以 在 任何 一 步 拒绝 参与 协议 , 这 样 Alice 欺骗 Bob 的 企图 就 显而易见 了 。 

如 果 Bob 想 欺 骗 并 强制 为 “反面 "*， 那 么 他 的 选择 性 不 大 。 他 可 以 在 第 (3) 步 中 不 正 
确 地 加 密 一 个 消息 ,但 Alice 在 第 (6) 步 查看 最 终 消息 时 就 可 以 发 现 它 。 他 可 以 在 第 (5) 
步 中 进行 不 适当 的 操作 ,但 这 也 会 导致 乱七八糟 的 无 用 消息 ，Alice 可 在 第 (6) 步 中 发 现 。 
他 可 以 声称 由 于 Alice 那 方 面 的 欺诈 使 他 不 能 适当 地 完成 第 (5) 步 的 操作 ,但 这 种 形式 的 
欺诈 能 在 第 (7) 步 中 发 现 。 最 后 ， 他 可 能 在 第 (5) 步 中 给 Alice 一 个 “反面 ”的 消息 ， 而 
不 管 他 解密 获得 的 消息 是 什么 ，Alice 都 能 在 第 (6) 步 中 立即 检查 消息 的 真实 性 。 


4.10.3 抛 币 入 井 协 议 


注意 在 所 有 这 些 协 议 中 ，Alice 和 Bob 不 能 同时 知道 抛 币 的 结果 。 每 个 协议 有 一 个 点 ， 
在 这 个 点 上 其 中 一 方 〈 如 开始 两 个 协议 中 的 Alice， 最 后 一 个 协议 中 的 Bob) 知道 抛 币 结果 ， 
但 不 能 改变 它 。 然 而 ， 这 一 方 能 推迟 向 另 一 方 泄露 结果 。 这 称 为 抛 币 人 井 协议 Clipping 
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coins into a well) 。 设 想 有 一 口 井 ，Alice 在 井 的 和 旁边， 而 Bob 远离 这 口 井 。Bob 将 币 抛 进 井 
里 去 ， 币 停留 在 井中 ， 现 在 Alice 能 够 看 到 井中 的 结果 ， 但 她 不 能 到 井 底 去 改变 它 。Bob 不 
能 看 到 结果 ， 直 到 Alice 让 他 走 到 足够 近 时 ， 才 能 看 到 。 


4.10.4 ”使 用 抛 币 产生 密 钥 

这 个 协议 的 实际 应 用 是 产生 会 话 密 钥 。 抛 币 协议 能 让 Alice 和 Bob 产生 随机 会 话 密 钥 ， 
以 便 双 方 都 不 能 影响 密 钥 产生 的 结果 。 假 定 Alice 和 Bob 加 密 他 们 的 交换 ， 这 个 密 钥 产生 方 
法 在 存在 窃听 时 也 是 安全 的 。 


4.11 智力 扑克 

这 是 一 个 类 似 于 公平 硬币 抛掷 协议 的 协议 ， 它 允许 Alice 和 Bob 通过 电子 邮件 打 扑 死 。 
这 里 Alice 不 是 产生 和 加 密 两 个 消息 : 一 个 “正面 ”和 一 个 “反面 >， 而 是 产生 52 个 消息 
M ，M ，…，Mi ， 每 个 代表 一 副 牌 中 的 一 张 牌 。Bob 随机 选取 5 张 牌 ， 用 他 的 公开 密 钥 加 
密 ， 然 后 回 送 给 Alice。Alice 解密 消息 并 回 送 给 Bob, Bob 解密 它们 以 确定 他 的 一 手 牌 。 然 
后 ， 当 Bob 接收 到 Alice 发 送 的 消息 时 ， 他 随机 选择 另外 5 个 消息 ， 并 发 给 Alice, Alice f 
密 它 们 ， 并 且 它 们 变 成 她 的 一 手 牌 。 在 游戏 期 间 ， 可 通过 重复 这 些 过 程 来 为 任意 一 方 发 其 他 
的 牌 。 在 游戏 结束 时 ，Alice 和 Bob 双方 出 示 他 们 的 牌 和 密 钥 对 使 任意 一 方 确信 对 方 没有 
ER, 


4.11.1 三 方 智力 扑克 

人 较 多 时 玩 扑 克 会 更 有 趣 。 基 本 的 智力 扑克 协议 可 以 很 容易 地 扩展 到 三 个 或 更 多 个 玩 
家 。 在 这 种 情况 下 ， 密 码 算法 也 必须 是 可 交换 的 。 

(1) Alice, Bob 和 Carol 都 产生 一 个 公开 密 钥 /私人 密 钥 对 。 

(2) Alice 产生 52 个 消息 ， 每 个 代表 一 副 牌 中 的 一 张 牌 。 这 些 消 息 应 包含 一 些 唯一 的 随 
机 串 ， 以 便 她 能 在 以 后 验证 它们 在 协议 中 的 真实 性 。Alice 用 她 的 公开 密 钥 加 密 所 有 这 些 消 
息 ， 并 将 它们 发 送 给 Bob; E,(M,). 

(3) Bob 不 能 阅读 任何 消息 ， 他 随机 选择 5 张 牌 ， 用 他 的 公开 密 钥 加 密 ， 并 把 它们 回 送 
给 Alice: Ex(E,(M,)). 

(4) Bob 将 余下 的 47 张 牌 送 给 Carol; E,(M,). 

(5) Carol 不 能 阅读 任何 消息 ， 也 随机 选 5 个 消息 ， 用 她 的 公开 密 钥 加 密 ， 并 把 它们 送 
给 Alice: EceCE,(M,)). 

(6) Alice 也 不 能 阅读 回 送 给 她 的 消息 ， 她 用 她 的 私人 密 钥 对 它们 解密 ， 然 后 送 给 Bob 
或 Carol 〈 依 据 来 自 谁 而 定 ) Da (Es (Es(M,)))=Es(M,), Da CEc(E,(M,,))) =(Ec(M,). 

(7) Bob 和 Carol 用 他 们 的 密 钥 解密 并 获得 他 们 的 牌 ，Ds Es CM, =M,, ，DPeCGE (M,,) =M, « 

(8) Carol 从 余下 的 42 张 牌 中 随机 取 5 张 ， 把 它们 发 送 给 Alice: E,(M,). 

(9) Alice 用 她 的 私人 密 钥 解密 消息 获得 她 的 牌 : Da (Ea (M,,)) =M, 

(10) 在 游戏 结束 时 ，Alice、Bob 和 Carol 都 出 示 他 们 的 牌 和 他 们 的 密 钥 ， 以 便 每 人 都 
WA AAE. 

其 他 的 牌 可 以 用 同样 的 方式 处 理 。 如 果 Bob 或 Carol 想 要 牌 ， 任 何 一 个 人 能 够 取 被 加 密 
的 牌 ， 并 和 Alice 一 起 履行 该 协议 。 如 果 Alice 想 要 一 张 牌 ， 当 前 得 到 牌 的 任何 人 都 随机 发 
给 她 一 张 牌 。 
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在 理想 情况 下 ,第 AO) 步 是 不 必要 的 。 协 议 结 束 后 ， 不 应 该 要 求 所 有 选手 都 出 示 他 们 
的 牌 ， 只 有 那些 没有 出 完 牌 的 人 被 要 求 如 此 。 由 于 第 〈10) 步 只 是 设计 抓 住 骗子 的 部 分 ， 所 
以 也 可 能 有 改进 。 

在 扑克 中 ， 人 们 只 对 赢家 是 否 欺 骗 感 兴趣 。 只 要 他 们 仍然 失败 ， 其 他 每 个 人 也 能 进行 他 
们 想 要 的 欺骗 。( 事 实 上 ， 这 确实 是 不 对 的 。 当 失败 时 ,可 以 收集 其 他 玩家 的 玩 牌 风格 的 数 
据 )。 让 我 们 看 看 不 同 选手 赢 牌 的 情况 。 

如 果 Alice 赢 了 ， 她 出 示 她 的 牌 和 她 的 密 钥 。Bob 能 够 用 Alice 的 私人 密 钥 确认 Alice 是 
合法 地 进行 了 第 (2) 步 一 一 52 个 消息 分 别 对 应 一 张 不 同 的 牌 。Carol 通过 用 Alice 的 公开 密 
钥 加密 牌 ， 并 验证 是 与 她 在 第 〈8) 步 中 送 给 Alice 的 加 密 消 息 相 同 ， 从 而 确认 Alice 没有 对 
出 的 牌 撒谎 。 

如 果 Bob 或 Carol 赢 了 ， 赢 牌 者 将 出 示人 他们 的 牌 以 及 密 钥 。Alice 可 以 通过 检查 她 的 随 
机 串 来 确信 这 些 牌 是 合法 的 。 她 也 能 确信 通过 用 赢家 的 公开 密 钥 对 牌 加 密 的 牌 是 发 的 牌 ， 并 
验证 与 她 在 第 (3) 步 或 第 G) 步 中 收 到 的 加 密 消 息 相 同 。 

当 恶 意 的 玩家 串通 时 ， 这 个 协议 便 不 安全 了 。Alice 和 其 他 玩家 可 以 有 效 地 联合 起 来 对 
付 第 三 方 ， 在 不 引起 怀疑 的 情况 下 骗取 其 所 有 东西 。 因 此 ， 每 次 检查 玩家 出 的 牌 中 的 随机 串 
和 所 有 的 密 钥 很 重要 。 如 果 你 与 两 个 从 未 出 示 他 们 牌 的 人 坐 在 虚拟 桌子 上 ， 且 其 中 一 个 为 发 
牌 者 〈 上 述 协议 中 的 Alice) 时 ， 你 就 应 该 停止 玩 了 。 


4. 11.2 对 扑克 协议 的 攻击 


密码 学 家 已 经 证 明 ， 如 果 使 用 RSA 算法 ， 那么 这 些 扑克 协议 会 泄露 少量 的 消息 "1。 
具体 来 说 ， 如 果 牌 的 二 进 制 表示 是 二 次 方程 的 残 数 〈 参 见 11. 3 节 )， 那 么 牌 的 加 密 也 为 二 次 
方程 的 残 数 。 这 个 特性 可 用 来 标记 某 些 牌 一 一 比如 ， 所 有 的 “A”。 虽 然 不 能 泄露 许多 牌 ， 
但 在 诸如 扑克 游戏 中 ,在 最 后 即便 是 一 个 微小 的 位 消息 也 会 有 用 。 

Shafi Goldwasser 和 Silvio Micali “设计 了 一 个 两 人 玩 的 智力 扑克 游戏 协议 ， 它 解决 了 
这 个 问题 , 但 由 于 其 太 复杂 、 太 理论 化 而 实用 性 不 好 。 在 文献 L389] 中 设计 了 消除 消息 泄 
露 问 题 的 通用 nn 方 扑 克 协 议 。 

其 他 对 扑克 协议 的 研究 可 在 文献 [573、1634、389] 中 找到 。 一 个 允许 玩家 不 出 示 他 们 
牌 的 复杂 协议 可 在 文献 [390] 中 找到 。Don Coppersmith 讨论 了 在 利用 RSA 算法 的 智力 扑 
we UE RR a BP EE PO 。 


4.11.3 匿名 密 钥 分 配 


在 人 们 利用 这 个 协议 通过 调制 解 调 器 玩 扑 克 是 不 太 可 能 的 时 候 ，Clarles Pfleeger 讨论 了 
这 样 一 种 情况 ,使 得 这 类 协议 迟早 有 用 1。 

考虑 密 钥 分 配 问题 。 如 果 假 定 人 们 不 能 产生 他 们 自己 的 密 钥 (它们 必须 为 某 种 形式 ,或 
必须 被 某 组 织 签名 ,或 类 似 的 要 求 )。 必 须 设置 KDC 来 产生 和 分 配 密 钥 。 问 题 是 必须 找 出 
一 些 密 钥 分 配方 法 使 得 没有 人 (包括 服务 器 ) 知道 谁 得 到 了 什么 密 钥 。 

下 面 的 协议 解决 了 这 个 问题 : 

(1) Alice 产生 一 个 公开 密 钥 / 私 人 密 钥 对 。 对 这 个 协议 ， 她 保持 这 两 个 密 钥 秘密 。 

(2) KDC 产生 连续 的 密 钥 序 列 。 

(3) KDC 用 它 自己 的 公开 密 钥 ， 逐 个 地 将 这 些 密 钥 加 密 。 

(4) KDC 逐个 地 将 这 些 加 密 后 的 密 钥 传送 到 网 上 。 
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(5) Alice 随机 选择 一 个 密 钥 。 

(6) Alice 用 她 的 公开 密 钥 加 密 所 选 的 密 钥 。 

(7) Alice 等 一 段 时 间 (要 足够 长 使 得 服务 器 不 知道 她 选择 了 哪个 密 钥 )， 将 这 个 双重 加 
密 的 密 钥 送 回 KDC。 

(8) KDC 用 它 的 私人 密 钥 解密 双重 加 密 的 密 钥 ,得 到 一 个 用 Alice 的 公开 密 钥 加 密 的 
密 钥 。 

(9) 服务 器 将 此 加 密 密 钥 送 给 Alice, 

(10) Alice 用 她 的 私人 密 钥 解密 这 个 密 钥 。 

Eve 在 这 个 协议 过 程 中 也 不 知道 Alice 选择 了 什么 密 钥 。 她 在 第 (4〉 步 看 到 了 连续 密 钥 
序列 通过 。 当 Alice 在 第 (7) 步 将 密 钥 送 回 给 服务 器 时 ， 用 她 的 公开 密 钥 加 密 ， 而 公开 密 
钥 在 协议 期 间 也 是 秘密 的 。Eve 没 法 将 它 与 密 钥 序列 关联 起 来 。 当 服务 器 在 第 〈9) 步 将 密 
钥 送 回 给 Alice 时 ， 也 是 用 Alice 的 公开 密 钥 加 密 的 。 仅 当 Alice 在 第 (10) 步 解 密 密 钥 时 ， 
才 知 道 密 钥 。 

如 果 你 用 RSA， 这 个 协议 以 每 个 消息 1 位 的 速度 泄露 信息 。 它 又 是 二 次 方程 的 残 数 。 
如 果 你 准备 用 这 种 方式 分 配 密 钥 ， 那 么 必须 确保 泄露 是 无 关 紧 要 的 。 来 自 KDC 的 密 钥 序列 
也 必须 足够 长 ， 以 阻止 穷 举 攻击 。 当 然 ， 如 果 Alice 不 信任 KDC， 她 就 不 应 该 从 KDC 得 到 
密 钥 。 恶 意 的 KDC 可 以 预先 记录 它 所 产生 的 所 有 密 钥 。 然 后 ， 它 能 搜索 所 有 的 密 钥 ， 决 定 
哪 一 个 是 Alice 的 。 

这 个 协议 也 假定 Alice 行为 正当 。 利 用 RSA 算法 ， 她 能 够 做 其 他 事情 来 得 到 更 多 的 信 
息 。 在 这 个 方案 中 ， 这 不 成 问题 ， 但 在 其 他 环境 可 能 存在 问题 。 


4.12 单 向 累加 器 

Alice 是 Cabal 公司 的 一 个 成 员 。 有 时 候 ， 她 必须 在 光线 暗淡 的 旅馆 与 其 他 成 员 会 晤 。 
问题 是 旅馆 的 光线 非常 暗 ， 以 至 于 她 难于 知道 桌子 对 面 的 人 是 否 也 是 他 们 的 成 员 。 

Cabal 公司 可 以 选择 多 种 解决 方案 。 一 种 方案 是 ， 每 个 成 员 可 以 携带 一 个 成 员 名 单 ， 这 
有 两 个 问题 。 一 是 每 人 都 必须 携带 一 个 大 的 数据 库 ， 二 是 他 们 必须 很 好 地 保护 成 员 名 单 。 另 
一 种 选择 是 ， 一 个 值得 信任 的 秘书 能 够 发 布 数字 签名 的 身份 卡 。 这 样 做 增加 了 让 外 来 者 验证 
成 员 的 好 处 “〈 例 如 ， 在 本 地 食品 店 打折 )， 但 是 它 需要 可 信任 的 秘书 ， 在 Cabal 公司 没有 人 
能 够 被 信任 到 那 种 程度 。 

新 的 解决 方案 是 使 用 叫做 单 向 累加 器 (one-way accumulator) HRE, KT T XH 
外 ， 它 类 似 单 向 散 列 函数 。 也 就 是 说 ， 用 任何 顺序 对 成 员 数 据 库 进行 散 列 运算 都 得 到 相同 的 
值 是 可 能 的 。 而 且 ， 把 成 员 加 入 到 散 列 中 得 到 新 的 散 列 ， 它 也 与 顺序 无 关 。 

那么 ， 这 是 Alice 做 的 事情 。 她 计算 除 她 自己 外 每 个 成 员 名 字 的 累加 和 。 然 后 ， 她 把 那 
个 值 与 她 的 名 字 保 存在 一 起 。Bob 和 其 他 每 个 成 员 都 做 和 Alice 一 样 的 事 。 现 在 ， 当 Alice 
和 Bob 在 光线 暗淡 的 旅馆 会 面 时 ， 他 们 简单 地 互相 交换 累加 值 和 名 字 ，Alice 确信 Bob 的 名 
字 加 上 他 的 累加 值 等 于 Alice 的 名 字 加 上 她 的 累加 值 。Bob 做 同样 的 事情 。 现 在 他 们 两 人 知 
道 另 一 个 是 公司 成 员 。 同 时 ， 没 有 人 能 够 知道 任何 其 他 人 的 身份 。 

其 至 更 好 ， 非 成 员 能 知道 每 个 人 的 累加 值 。 现 在 Alice 能 够 对 非 成 员 验 证 他 的 成 员 资 格 
(也 许 ， 在 他 们 的 本 地 反 间 谍 商 店 为 成 员 打 折 )， 非 成 员 不 可 能 计算 出 全 部 成 员 资格 的 名 单 。 

只 要 到 处 发 送 新 成 员 的 名 字 就 可 把 新 成 员 加 入 到 累加 值 中 。 不 幸 的 是 ， 删 除 成 员 的 唯一 
方法 是 给 每 个 成 员 发 送 新 名 单 并 让 他 们 重新 计算 累加 值 。 如 果 有 人 辞职 ，Cabal 公司 就 需要 
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这 样 做 ， 和 死亡 的 成 员 则 可 以 保留 在 名 单 上 《很 奇怪 ， 这 绝 不 会 有 问题 ) 。 
在 没有 集中 签名 者 的 情况 下 ， 无 论 什么 时 候 你 想 要 与 数字 签名 有 同样 的 效果 时 这 是 一 个 
聪明 的 想法 ， 并 已 得 到 应 用 。 


4. 13， 秘 密 的 全 或 无 泄露 

假设 Alice 是 苏联 的 前 代理 商 ， 现 在 失业 了 ， 她 为 了 挣 钱 ， 便 出 卖 机 密 ， 任 何 愿 意 付 钱 
的 人 都 可 以 买 到 秘密 。Alice 甚至 还 有 一 个 目录 ， 所 有 的 秘密 都 编号 列 出 ， 并 加 上 一 个 非常 
RAW pp: “Jimmy Hoffa 在 哪里 ?”“ 谁 在 秘密 控制 着 三 方 委员 会 ?”“ 为 什么 叶利钦 看 上 
去 总 像 知 了 一 只 活 青 蛙 ?” 等 。 

Alice 不 愿 为 一 个 秘密 的 价格 而 泄露 两 个 秘密 或 者 泄露 秘密 的 任何 一 部 分 。Bob 是 一 个 
潜在 的 买主 ， 他 不 想 为 随意 的 秘密 付 钱 ， 他 也 不 想 告 诉 Alice 他 想 要 哪个 秘密 。 这 并 不 关 
Alice 的 事 ， 此 外 Alice 可 能 在 她 的 目录 中 加 上 “Bob 对 什么 感 兴趣 ”这 一 条 。 

在 这 种 情况 下 不 能 使 用 扑克 协议 ， 因 为 在 协议 的 末尾 Alice 和 Bob 必须 互相 摊牌 。Bob 
也 能 进行 欺骗 而 得 到 不 止 一 个 秘密 。 

这 个 解决 方案 就 叫做 秘密 的 全 或 无 泄露 (All-or-Nothing Disclosure Of Secret, ANDOS), 
因为 一 旦 Bob 得 到 了 不 管 是 Alice 的 秘密 中 的 哪 一 个 ， 他 就 失去 了 获知 任何 其 他 秘密 的 
机 会 。 


在 密码 学 文献 中 有 多 个 ANDOS 协议 ， 其 中 一 些 将 在 23.9 节 中 讨论 。 


4 14 BARE 
下 面 这 段 话 摘自 Silvio Micali 的 专题 介绍 55 : 


当前 ， 法 院 授 权 许 可 的 搭 线 窃听 是 防止 犯罪 并 将 罪犯 绳 之 以 法 的 有 效 方法 。 更 

重要 的 是 ， 照 我 们 的 观点 ， 通 过 阻止 对 正常 网 络 通信 的 非法 使 用 也 防止 了 犯罪 的 进 

一 步 扩 散 。 因 此 ， 法 律 上 比较 关心 的 是 ， 公 开 密 码 学 的 广泛 应 用 可 能 对 犯罪 和 丽 怖 

组 织 有 很 大 帮助 。 实 际 上 ,很 多 议案 提议 ; 一 个 适当 的 政府 机 关 ， 在 法 律 允 许 的 情 

况 下 ， 应 当 可 以 获得 任何 通过 公共 网 络 进行 通信 的 明文 。 目 前 ， 这 个 要 求 可 能 意味 

着 强迫 市 民 : C) 要 么 使 用 弱 的 密码 系统 ， 即 有 关 当 局 (当然 也 可 以 是 任何 其 他 的 

A) 经 过 一 定 的 努力 可 以 破解 的 密码 系统 ; (2) 要 么 事先 把 他 们 的 秘密 密 钥 交 给 当 

局 。 如 果 这 种 替代 方法 会 从 法 律 上 提醒 许多 有 关 的 市 民 ， 让 他 们 党 得 国家 安全 和 法 

律 强制 应 在 隐私 之 上 的 话 ， 这 并 不 令 人 惊奇 。 

密 钥 托管 是 美国 政府 的 Clipper 计划 和 它 的 托管 加 密 标准 (Escrowed Encryption Standard) 
的 核心 。 这 里 面临 的 挑战 是 开发 一 个 密码 系统 ， 既 要 保护 个 人 隐私 ， 同 时 又 要 允许 法 院 授 权 
HIHA BMT o 

托管 加 密 标准 通过 防 窜 改 的 硬件 来 实现 安全 性 。 每 个 加 密 芯 片 有 一 个 唯一 的 ID 号 和 秘 
密 密 钥 ， 密 钥 分 为 两 部 分 ， 并 与 ID 号 一 起 由 两 个 不 同 的 托管 机 构 存 储 。 世 片 每 次 加 密 数 据 
文件 ， 它 首先 用 唯一 的 秘密 密 钥 加 密会 话 密 钥 ,然后 通过 信道 发 送 加 密 的 会 话 密 钥 和 它 的 
ID 号 。 当 某 些 法 律 执 行 机 构想 用 这 些 芯 片 中 的 一 个 解密 加 密 的 消息 序列 时 ， 它 监听 ID 号 ， 
从 托管 机 构 收 集 适 当 的 密 钥 ， 把 它们 进行 异 或 ， 解 密会 话 密 钥 ， 然 后 使 用 会 话 密 钥 解 密 消 息 
序列 。 面 对 欺诈 者 ， 为 了 使 这 个 方案 可 行 ， 它 可 能 更 复杂 ， 细节 见 24. 16 节 。 这 也 可 用 软件 
或 公开 密 钥 密码 术 来 实现 3 


第 4 章 中 级 协议 


Micali 称 他 的 思想 为 公平 密码 系统 (fair cryptosystem) 0 。( 据 传 美 国政 府 在 托管 
加 密 标准 中 为 使 用 他 的 专利 花 了 100 AÉ, PRG Banker’s Trust 购买 了 Micali 的 
专利 .) 在 这 些 密码 系统 中 ， 私 人 密 钥 被 分 成 许多 部 分 ， 发 给 不 同 的 机 构 。 类 似 于 秘密 共享 
方案 ,这些 机 构 可 集中 到 一 起 并 重新 构造 私人 密 钥 。 但 是 ， 这 些 密 钥 碎片 具有 一 种 额外 的 性 
质 : 无 需 重新 构造 私人 密 钥 ， 就 能 分 别 验证 这 些 密 钥 碎片 是 否 正 确 。 

Alice 可 以 产生 她 自己 的 私人 密 钥 并 给 n 个 托管 人 每 人 一 部 分 密 钥 。 这 些 托管 人 中 没有 
人 能 恢复 Alice 的 私人 密 钥 。 然 而 ， 所 有 这 些 托 管 人 都 能 验证 他 们 的 那 一 部 分 是 私人 密 钥 的 
有 效 部 分 ，Alice 不 可 能 送 给 一 个 托管 人 随机 位 串 ， 并 希望 他 带 着 逃跑 了 。 如 果 法 院 授权 搭 
线 窃 听 ， 有 关 法 律 执 行 机构 可 以 遵照 法 庭 的 命令 让 个 托管 人 交 出 他 们 的 那 一 部 分 密 钥 。 用 
所 有 这 个 部 分 ， 执行 机 构 重 新 构造 出 私人 密 钥 ， 并 能 够 对 Alice 的 通信 线路 进行 搭 线 窃 
听 。 另 一 方面 ，Mallory 为 了 能 重新 构造 Alice 的 密 钥 并 侵犯 她 的 隐私 ,将 不 得 不 破坏 所 及 n 
个 托管 人 。 

协议 执行 的 情况 如 下 : 

(1) Alice 产生 她 的 私人 密 钥 /公开 密 钥 对 ， 她 把 私人 密 钥 分 成 多 个 公开 和 秘密 部 分 。 

(2) Alice 送 给 每 个 托管 人 一 个 公开 的 部 分 和 对 应 的 秘密 部 分 。 这些 消息 必须 加 密 。 她 
也 把 公开 密 钥 送 给 KDC, 

(3) 每 个 托管 人 独立 地 完成 计算 以 确认 所 得 到 的 公开 部 分 和 秘密 部 分 都 是 正确 的 。 每 个 
托管 人 将 秘密 部 分 存放 在 安全 的 地 方 并 把 公开 部 分 发 送 给 KDC. 

(4) KDC 对 公开 部 分 和 公开 密 钥 执行 男 一 种 计算 。 假 设 每 一 件 事 都 是 正确 的 ，KDC 在 
公开 密 钥 上 签名 ， 然 后 把 它 送 回 给 Alice 或 把 它 邮寄 给 某 处 的 数据 库 。 

如 果 法 庭 要 求 进 行 搭 线 窃听 ,那么 每 个 托管 人 就 把 他 的 那 部 分 交 给 KDC, KDC 能 重新 
构造 私人 密 钥 。 在 交 出 密 钥 前 ， 无 论 是 KDC 还 是 任何 一 个 托管 人 都 不 能 重新 构造 私人 密 
钥 ， 所 有 托管 人 一 起 才能 重新 构造 这 个 密 钥 。 

采用 这 种 方式 能 把 任何 公开 密 钥 密码 算法 都 做 成 是 公正 的 。 在 23. 10 节 中 讨论 一 些 特 
殊 算 法 。Micali 的 文章 "5 讨论 了 把 门限 方案 与 这 个 协议 结合 起 来 的 办 法 ,使 得 只 需 
要 托管 人 的 一 个 子 集 ( 例 如，5 个 中 的 3 个 ) 便 能 重新 构造 私人 密 钥 。 他 还 讲述 了 怎样 将 
不 经 意 传输 ( 见 5.5 节 ) 与 这 个 协议 结合 起 来 ， 使 托管 人 不 知道 是 谁 的 私人 密 钥 正在 被 
重新 构造 。 

公平 密码 系统 是 不 完善 的 。 罪 犯 能 够 利用 这 个 系统 ， 他 能 够 使 用 阀 下 信道 COL 4.2 节 ) 
把 另 一 个 秘密 密 钥 租 入 他 的 那 部 分 。 采 用 这 种 方法 ， 使 用 浆 下 密 钥 ， 不 用 担心 法 院 授 权 的 搭 
线 窃 听 ， 他 就 能 够 安全 地 与 其 他 人 通信 。 另 一 个 叫做 防 故障 密 钥 托 管 〈failsafe key escrowing) 
解决 了 这 个 问题 "8 。23. 10 节 描 述 该 算法 和 协议 。 


密 钥 托管 的 政治 

除了 政府 的 密 钥 托管 计划 外 ， 多 个 商业 密 钥 托管 正在 付 诸 实施 。 这 里 有 一 个 显而易见 的 
问题 : 对 用 户 来 说 ， 密 钥 托 管 的 好 处 是 什么 ? 

实际 上 没有 任何 好 处 ， 用 户 不 能 从 密 钥 托管 得 到 任何 东西 。 如 果 他 愿意 ， 他 可 以 备份 他 
的 密 钥 〈 见 8. 8 节 )。 密 钥 托 管 保 证 : 即使 使 用 了 加 密 ， 警察 也 能 够 窃听 他 的 谈话 或 阅读 他 
的 数据 文件 。 它 还 保证 : 即使 使 用 加 密 ，NSA 不 经 批准 也 能 够 窃听 他 的 国际 电话 。 也 许 ， 
他 将 被 允许 在 目前 反对 密 钥 托管 的 国家 使 用 密码 ， 这 似乎 好 像 是 唯一 的 好 处 。 

密 钥 托管 有 相当 大 的 缺陷 。 用 户 不 得 不 相信 托管 机 构 的 安全 性 程序 ， 以 及 参与 人 的 诚 
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实 。 他 不 得 不 相信 托管 机 构 没 有 改变 他 们 的 策略 ,政府 没有 改变 他 的 法 律 ， 那 些 得 到 密 钥 的 
执法 机 构 和 托管 机 构 会 合法 地 和 负责 地 做 事 。 设 想 一 个 大 慌 怖 分 子 袭 击 纽约 时 ， 对 警察 来 
说 ， 还 有 什么 样 的 限制 不 能 抛 到 一 边 呢 ? 

难于 想象 托管 加 密 方案 工作 会 像 它们 的 发 起 人 设想 的 那样 没有 一 些 法 律 压 力 。 很 明显 下 
一 步 是 禁止 使 用 非 托管 加 密 ， 这 可 能 是 使 商业 系统 付费 的 唯一 办 法 ， 并 且 它 肯定 是 使 技术 上 
富有 经 验 的 罪犯 和 钨 怖 分 子 使 用 它 的 唯一 方法 。 不 清楚 要 使 非 托 管 密码 成 为 非法 将 会 遇 到 什 
么 阻力 ， 或 者 它 怎么 影响 作为 研究 学 科 的 密码 学 。 就 我 而 言 ， 没 有 软件 非 托 管 加 密 设 备 ， 我 
能 研究 面向 软件 的 加 密 算法 吗 ? 我 还 需要 特别 的 许可 吗 ? 

还 有 法 律 上 的 问题 。 如 果 有 加 密 数 据 被 破解 ,托管 密 钥 怎 么 影响 用 户 的 责任 ?如果 美 国 
政府 试图 保护 托管 结构 ， 是 不 是 有 隐 仿 的 假设 ， 在 用 户 或 托管 机 构 都 会 危及 秘密 的 安全 时 ， 
泄密 的 一 定 是 用 户 ? 

对 于 政府 或 商业 性 的 密 钥 托管 服务 而 言 ， 如 果 它 的 整个 托管 密 钥 数 据 库 被 偷盗 了 该 怎么 
Dp? 如果 美国 政府 试图 对 它 保持 一 段 时 间 的 沉默 又 会 怎么 样 呢 ?很 清楚 ， 这 会 对 使 用 密 钥 托 
管 的 用 户 愿 望 产生 影响 ， 如 果 不 是 自愿 的 ， 这 样 的 一 些 丑 闻 又 将 增加 政治 压力 ， 迫 使 政府 要 
么 让 其 成 为 自愿 ， 要 么 对 该 产业 增加 新 的 复杂 规定 。 

更 为 危险 的 是 现 政府 的 政治 对 手 、 对 某 些 情报 或 警察 机 构 坦 率直 言 的 批评 家 已 经 被 监视 
多 年 的 丑闻 会 公 之 于 世 。 这 可 能 引起 公众 强烈 地 反对 托管 加 密 的 情绪 。 

如 果 签 名 密 钥 和 加 密 密 钥 一 样 被 托管 ， 存 在 更 多 的 问题 。 当 局 使 用 签名 密 钥 执行 操作 反 
对 可 疑 罪犯 能 否 被 接受 ? 基于 托管 密 钥 签名 的 真实 性 在 法 庭 上 会 被 接受 吗 ? 如 果 当 局 签署 一 
些 不 宜 的 合同 ， 以 帮助 国家 扶持 的 工业 ， 或 者 只 是 为 了 偷窃 金钱 ， 而 使 用 他 们 的 签名 密 钥 ， 
用 户 会 有 什么 样 的 追 索 权 呢 ? 

密码 的 全 球 化 导致 了 另外 一 些 问题 ， 密 钥 托 管 政 策 在 其 他 国家 将 会 一 致 吗 ? 跨国 公司 为 
了 保持 与 各 种 地 方法 律 一 致 ， 他 们 必须 在 每 个 国家 保持 单独 的 托管 密 钥 吗 ? 如 果 没 有 某 种 一 
致 性 ， 蜜 钥 托 管 方案 的 好 处 之 一 《〈 强 加 密 的 国际 化 使 用 ) 必 将 崩溃 。 

如 果 有 些 国 家 根本 不 接受 托管 机 构 的 安全 性 会 怎么 样 呢 ? 用 户 在 那里 怎么 做 生意 呢 ? 他 
们 的 数字 化 合同 能 得 到 当地 法 院 的 支持 吗 ? 或 者 他 们 的 签名 密 钥 托 管 在 美国 的 事实 会 允许 他 
们 在 瑞士 声称 别 的 人 也 可 能 签 效 他 的 电子 合同 吗 ? 在 这 些 国 家 做 生意 的 人 是 否 有 特殊 的 弃 
权 呢 ? 

工业 间谍 又 会 怎么 样 呢 ? 没有 理由 相信 那些 目前 正在 为 其 重要 的 或 政府 性 质 的 公司 从 事 间 
谍 活 动 的 国家 会 放弃 在 密 钥 托管 加 密 系统 上 做 手脚 。 的 确 ， 由 于 事实 上 没有 哪个 国家 会 允许 其 
他 国家 监视 自己 的 情报 工作 ， 所 以 托管 加 密 的 广泛 使 用 必 将 可 能 增加 搭 线 窃听 的 盛行 。 

即使 具有 良好 公民 权 记 录 的 国家 ， 其 使 用 密 钥 托 管 只 是 为 了 合法 追踪 罪犯 和 鸭 怖 分 子 ， 
但 它 肯 定 也 用 于 别 的 地 方 以 跟踪 异己 分 子 、 有 项 诈 勒 索 倾向 的 政敌 等 。 数 字 通 信和 在 监视 公民 
的 行动 、 意 见 、 购 买 和 集会 等 一 整套 工作 上 提供 的 机 会 比 模拟 世界 可 能 提供 的 机 会 大 得 多 。 

人 们 不 清楚 20 年 以 后 这 种 情况 对 商用 密 钥 托管 将 有 怎样 的 影响 ， 向 土耳其 出 售 现成 的 
密 钥 托管 系统 ， 就 类 似 于 20 世纪 70 年 代 向 南非 出 售 电 棍 和 20 世纪 80 年 代为 伊拉克 建立 化 
工厂 。 更 糟 薰 的 是 ， 由 于 这 种 对 通信 的 窃听 十 分 易 行 且 不 可 能 被 跟踪 ， 所 以 可 能 诱 使 许多 政 
府 对 其 大 多 数 公民 的 通信 进行 跟踪 ， 甚 至 连 以 前 不 打算 这 样 做 的 政府 也 会 如 此 ， 因 而 不 能 保 
证 自由 民主 社会 能 抵御 这 种 诱惑 。 
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5.1 AMRA 

下 面 是 另 一 个 故事 ， 

Alice:“ 我 知道 联邦 储备 系统 计算 机 的 口令 ， 汉堡包 秘 密 调 味 汁 的 成 分 以 及 
Knuth 第 4 AMAR.” 

Bob: “不 ， 你 不 知道 。” 
Alice:“ 我 知道 。” 
Bob:“ 你 不 知道 1” 
Alice:“ 我 确实 知道 1” 
Bob:“ 请 你 证 实 这 一 点 1” 
Alice:“ 好 吧 ， 我 告诉 你 !”( 她 悄悄 地 说 出 了 口令 。 
Bob:“ 太 有 趣 了 ! 现在 我 也 知道 了 。 我 要 告诉 《 华 whi 
Alice; “HF!” 


KERI, Alice 要 证 明 一 些 事情 给 Bob 的 常用 方法 是 告诉 Bob。 但 这 样 一 来 Bob 也 知 
道 了 这 些 事情 。 现 在 ，Bob 就 可 以 告诉 他 想 要 告诉 的 其 他 人 ， 而 Alice 对 此 上 毫 无 办 法 。 (在 

文献 中 ， 协 议 常 常 使 用 不 同 的 人 物 。Peggy 通常 扮 成 证 明 者 ， 而 Victor 则 扮 成 验证 者 ， 他 们 
的 名 字 将 代替 Alice 和 Bob 出 现在 下 面 的 例子 中 。) 

Peggy 可 使 用 单 向 函数 进行 零 知 识 证 明 (zero-knowledge proof)Ls24 。 这 个 协议 向 Victor 
证 明 Peggy 确实 拥有 一 部 分 信息 ， 但 却 没 有 告诉 Victor 这 个 信息 是 什么 。 

这 些 证 明 采 取 了 交互 式 协议 的 形式 。Victor 问 Peggy 一 系列 问题 ， 如 果 Peggy 知道 那 
个 信息 ， 她 就 能 正确 地 回答 所 有 问题 ;， 如果 她 不 知道 ， 她 仍 有 正确 回答 的 机 会 〈 在 如 下 例子 
中 有 50% 的 机 会 )。 大 约 在 10 个 问题 之 后 ， 将 使 Victor 确信 Peggy 知道 那个 信息 。 然 而 ， 
所 有 的 问题 或 回答 都 没有 给 Victor 提供 关于 Peggy 所 知道 信息 的 任何 信息 一 一 只 有 Peggy 
知道 这 个 信息 。 


5.1.1 基本 的 零 知识 协议 


Jean-Jacques Quisquater 和 Louis Guillou 用 一 个 关于 洞穴 的 故事 来 解释 零 知 识 n*” J] 。 见 
图 5-1, 洞穴 里 有 一 个 秘密 ， 知道 响 语 的 人 能 打开 C 和 D 
之 间 的 密 门 。 对 其 他 任何 人 来 说 ， 两 条 通道 都 是 死胡同 。 

Peggy 知道 这 个 洞穴 的 秘密 。 她 想 对 Victor 证 明 这 一 
点 ， 但 她 不 想 泄露 咒语 。 下 面 是 她 如 何 使 Victor 相信 的 
过 程 : 

(1) Victor 站 在 A 点 。 

(2) Peggy 一 直 走 进 洞穴 ， 到 达 C 点 或 者 D A. 

(3) 在 Peggy 消失 在 洞穴 中 之 后 ，Victor 走 到 B 点 。 

(4) Victor 向 Peggy 喊叫 ， 要 她 : 图 5-1 零 知 识 洞 祥 
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Ca) 从 左 通道 出 来 ， 或 者 
Cb) 从 右 通 道 出 来 。 
(5) Peggy 答应 了 ， 如 果 有 必要 她 就 用 呢 语 打开 密 门 。 
(6) Peggy 和 Victor 重复 第 (1) ~ (5) Hn. 
假设 Victor 有 一 个 摄像 机 能 记录 他 所 看 到 的 一 切 。 他 记录 Peggy 消失 在 洞 中 的 情景 ， 


. 记录 他 喊叫 Peggy 从 他 选择 的 地 方 出 来 的 时 间 ， 记 录 Peggy 走出 来 。 他 记录 所 有 nn 次 试验 。 


如 果 他 把 这 些 记录 给 Carol 看 ， 她 会 相信 Peggy 知道 打开 密 门 的 咒语 吗 ? 肯定 不 会 。 在 不 知 
道 咒 语 的 情况 下 ， 如 果 Peggy 和 Victor 事先 商定 好 Victor 喊叫 什么 ， 那 将 如 何 呢 ?7 Peggy 
会 确信 她 走 进 Victor 叫 她 出 来 的 那 一 条 路 ， 然 后 她 就 可 以 在 不 知道 咒语 的 情况 下 在 Victor 
每 次 要 她 出 来 的 地 方 出 来 。 或 许 他 们 不 那么 做 ，Peggy 走 进 其 中 一 条 通道 ，Victor 发 出 一 个 
随机 的 要 求 ， 如 果 Victor 猜 对 了 ， 好 极 了 ;如 果 他 猜 错 了 ， 他 们 会 从 录像 带 中 删除 这 个 试 
验 。 总 之 ，Victor 能 获得 一 个 记录 ， 它 准确 显示 与 实际 证 明 Peggy 知道 咒语 相同 的 事件 
顺序 。 

这 说 明了 两 件 事 情 。 其 一 ，Victor 不 可 能 使 第 三 方 相 信 这 个 证 明 的 有 效 性 ; 其 二 ， 它 证 
明了 这 个 协议 是 零 知 识 的 。 在 Peggy 不 知道 光 语 的 情况 下 ，Victor 显然 不 能 从 记录 中 获悉 任 
何 信息 。 但 是 ， 因 为 无 法 区 分 一 个 真实 的 记录 和 一 个 伪造 的 记录 ， 所 以 Victor 不 能 从 实际 
证 明 中 了 解 任 何 信息 它 必 定 是 零 知 识 。 

协议 使 用 的 技术 叫做 分 割 选择 (cut and choose)， 因 为 它 类 似 于 如 下 将 任何 东西 等 分 的 
经 典 协议 : 

(1) Alice 将 东西 切 成 两 半 。 

(2) Bob 给 自己 选择 一 半 。 

(3) Alice 拿 走 剩 下 的 一 半 。 

Alice 最 关心 的 是 第 (1) 步 中 的 等 分 ， 因 为 Bob 可 以 在 第 (2) 步 中 选择 他 想 要 的 那 一 半 。 
Michael Rabin 是 第 一 个 在 密码 学 中 使 用 分 割 选择 技术 的 人 Mm” 。 交 互 式 协议 (interactive 
protocol) 和 零 知 识 的 概念 是 后 来 才 正 式 提出 的 3] 

分 割 选择 协议 起 作用 ， 因 为 Peggy 没有 办 法 重复 猜 出 Victor 要 她 从 哪 一 边 出 来 。 如 果 
Peggy 不 知道 这 个 秘密 ， 那 么 她 只 能 从 进去 的 路 出 来 。 在 协议 的 每 一 轮 (有 时 叫做 一 次 鉴别 
(accreditation)) 中 她 有 50% 的 机 会 猿 中 Victor 会 叫 她 从 哪 一 边 出 来 ， 所 以 她 有 50% 的 机 会 
欺骗 他 。 在 两 轮 中 她 欺骗 Victor 的 机 会 是 25%。 而 所 有 1 次 她 欺骗 Victor 的 机 会 是 1/2”。 
经 过 16 轮 后 ，Peggy 只 有 1/65 536 的 机 会 欺骗 Victor, Victor 可 以 安全 地 假定 ， 如 果 所 有 
16 次 Peggy 的 证 明 都 是 有 效 的 ， 那 么 她 一 定 知道 开启 C 点 和 了 D 点 间 的 密 门 死 语 。( 洞 穴 的 比 
拟 并 不 完善 。Peggy 可 能 简单 地 从 一 边 走 进去 ， 并 从 另 一 边 出 来 。 这 里 并 不 需要 任何 分 割 选 
择 协议 ， 但 是 ， 数 学 上 的 零 知 识 需要 它 。) 

假设 Peggy 知道 一 部 分 信息 而 且 这 部 分 信息 是 一 个 难题 的 解法 ， 基 本 的 零 知 识 协议 由 
下 面 几 轮 组 成 。 

(1) Peggy 用 她 的 信息 和 一 个 随机 数 将 这 个 难题 转变 成 另 一 个 难题 ， 新 的 难题 和 原来 的 
难题 同 构 。 然 后 她 用 她 的 信息 和 这 个 随机 数 解 这 个 新 难题 。 

(2) Peggy 利用 位 承诺 方案 提交 这 个 新 难题 的 解法 。 

(3) Peggy 向 Victor 透露 这 个 新 难题 。Victor 不 能 用 这 个 新 难题 得 到 关于 原 难 题 或 其 解 
法 的 任何 信息 。 

(4 ) Victor 要 求 Peggy: 
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Ca) 向 他 证 明 新 、 旧 难题 是 同 构 的 〈 即 两 个 相关 问题 的 两 种 不 同 解法 ) ， 或 者 
Cb) 公开 她 在 第 (2) 步 中 提交 的 解法 并 证 明 是 新 难题 的 解法 。 

(5) Peggy 同意 。 

(6) Peggy 和 Victor 重复 第 (1) ~ (5) 步 n 次 。 

还 记得 洞穴 协议 中 的 摄像 机 吗 ?” 在 此 你 可 以 做 同样 的 事 。Victor 可 以 做 一 个 他 和 Peggy 
之 间 交 换 的 副本 。 他 不 能 用 这 个 副本 让 Carol 信服 ， 因 为 他 总 能 串通 Peggy 制造 一 个 伪造 
Peggy 知识 的 模拟 器 。 这 个 论点 可 以 用 来 论证 这 样 的 证 明 是 零 知 识 的 。 

这 类 证 明 的 数学 背景 很 复杂 。 问 题 和 随机 变换 一 定 要 仔细 挑选 ， 使 得 甚至 在 协议 的 多 次 
迭代 之 后 ，Bob 仍 不 能 得 到 关于 原 问 题解 法 的 任何 信息 。 不 是 所 有 难题 都 能 用 作 零 知识 证 

WH. 但 很 多 可 以 。 


5.1.2 图 同 构 

举 个 例子 来 解释 这 个 概念 可 能 要 费 很 多 笔墨 。 这 个 概念 来 自 图 论 " ”2 。 连 接 不 同 点 的 线 
构成 的 网 络 称 为 图 。 如 果 两 张 图 除 点 的 名 字 不 er RE. EMI" tg estes 
对 于 一 个 非常 大 的 图 ， 找 出 两 个 图 是 否 同 构 需 要 计算 机 工作 数 百年 的 时 间 ， 这 是 在 11.1 op 
中 讨论 的 NP 完全 问题 之 一 。 

假设 Peggy 知道 图 G 和 G 之 间 同 构 ， 下 面 的 协议 将 使 Victor 相信 Peggy 的 知识 : 

(1) Peggy 随机 置换 G 产生 另 一 个 图 H, JH AIG, 同 构 。 因 为 Peggy 知道 G! 和 
末 同 构 ， 所 以 她 也 就 知道 H MG 同 构 。 对 其 他 人 来 说 ， AR G MHH 和 G; 之 间 同 构 
与 发 现 G 和 G 之 间 同 构 一 样 难 。 

(2) Peggy 把 互 送 给 Victor。 

(3) Victor 要 求 Peggy: 

(a) 证 明 G M H ley. RA 
Cb) 证 明 G: Al H 同 构 。 
(4) Peggy 同意 。 她 
(a) 证 明 G, 和 互 同 构 ， 但 不 证 明 G A H Et RE 
(b) 证 明 Cs 和 互 同 构 ， 但 不 证 明 G A H A 
(5) Peggy 和 Victor 重复 第 (1) ~ (4) Henk, 
如 果 Peggy AA G, Al G: 之 间 的 同 构 性 ， 她 就 不 能 创造 和 这 两 个 图 都 同 构 的 图 H. 
她 只 能 创造 一 个 图 或 者 与 G1 同 构 或 者 与 C 同 构 。 同 前 面 的 那个 例子 一 样 ， 她 只 有 50% 的 
机 会 猜 中 Victor 在 第 (3) 步 中 会 要 求 她 执行 哪 一 个 证 明 。 

这 个 协议 没有 给 Victor 任何 有 用 的 信息 以 帮助 他 了 解 Cl FG, 之 间 的 同 构 性 。 因 为 
Peggy 在 协议 的 每 一 轮 都 产生 一 个 新 图 瓦 ， 所 以 不 管 他 们 经 过 多 少 轮 协议 Victor 也 得 不 到 
任何 信息 ， 他 不 能 从 Peggy 的 答案 中 了 解 C 和 G 的 同 构 性 。 

在 每 一 轮 中 ，Victor 都 得 到 H 的 一 个 新 的 随机 和 置换， 以 及 瑞 和 Gi RG, 之 间 的 同 构 
PE. Victor 也 可 以 自己 来 产生 这 个 协议 。 因 为 他 能 做 一 个 此 协议 的 模拟 器 ， 所 以 它 能 被 证 明 
是 零 知 识 的 。 





5.1.3 汉密尔顿 圈 


一 个 不 同 的 例子 是 由 Manuel Blum 最 先 提出 的 中。Peggy 知道 一 条 沿 图 线 走向 的 环 
形 连 续 路 径 ， 每 个 点 仅 通 过 一 次 ， 这 个 环形 连续 路 径 称 为 汉密尔顿 圈 (Hamiltonian cycle), 
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找到 一 个 汉密尔顿 圈 是 另 一 难题 。Peggy 拥有 这 部 分 信息 (她 可 能 通过 利用 某 个 汉密尔顿 圈 
来 构造 图 而 得 到 该 信息 ) 这 正 是 她 想 要 Victor 相信 她 知道 的 信息 。 
Peggy 知道 一 个 图 G 的 汉密尔顿 图 。Victor 知道 图 G， 但 是 不 知道 它 的 汉密尔顿 图 。 在 不 
暴露 汉密尔顿 圈 的 情况 下 ，Peggy 要 向 Victor 证 明 她 知道 这 个 汉密尔顿 圈 。 下 面 是 她 的 做 法 : 
C1) Peggy 随机 置换 图 CG。 她 移动 这 些 点 并 改变 它们 的 标号 ， 生 产 一 个 新 图 A. AG 和 
是 在 拓扑 上 同 构 〈 即 相同 的 图 )， 所 以 如 果 她 知道 G 的 汉密尔顿 圈 ， 那 么 她 能 很 容易 地 找到 
H 的 汉密尔顿 图 。 如 果 她 不 是 自己 创造 及 ， 则 确定 两 个 图 之 间 的 同 构 性 将 是 男 一 难题 ， 也 
需 花 费 计 算 机 数 百年 的 时 间 。 她 加 密 H 得 到 互 ” (这 必定 是 一 种 对 互 的 每 一 条 线 的 概率 加 
密 ， 即 对 互 的 每 一 条 线 加 密 0 或 加 密 1)。 
(2) Peggy 给 Victor 一 个 五 "的 副本 。 
(3) Victor 要 求 Peggy: 
(a) 向 他 证 明 五 ' 是 G 的 同 构 副 本 的 加 密 ， 或 者 
Cb) 向 他 出 示 H 的 汉密尔顿 圈 。 
(4) Peggy 同意 ， 她 
Ca) 通过 揭示 置换 和 解密 证 明 H E G 的 同 构 副 本 的 加 密 ， 但 不 出 示 @G 或 互 的 汉 密 
尔 顿 图， 或 者 
Ch) 仅 通 过 解密 构成 汉密尔顿 圈 的 那些 线 出 示 H 的 汉密尔顿 轿 ， 但 不 证 明 G 和 十 
在 拓扑 上 同 构 。 
(5) Peggy 和 Victor 重复 第 (1) ~ (4) 步 n 次 。 
WMR Peggy 诚实 ， 她 就 能 给 Victor 提供 第 (4) 步 中 两 个 证 明 中 的 任何 一 个 。 但 是 ， 如 
果 她 不 知道 G 的 汉密尔顿 圈 ， 她 就 不 能 创造 加 密 的 图 五 ， 这 个 图 H 能 满足 两 个 要 求 。 她 最 
多 能 做 到 的 是 使 其 所 创造 的 图 或 者 与 G 同 构 ， 或 者 具有 相同 数目 的 点 、 线 和 一 个 有 效 的 汉 
密 尔 顿 圈 。 虽 然 她 有 50% 的 机 会 猿 中 Victor 在 执行 第 (3) 步 中 将 要 他 完成 哪 一 个 证 明 ， 但 
Victor 可 将 协议 重复 足够 多 次 来 使 他 自己 确信 Peggy 知道 G 的 汉密尔顿 圈 。 


5. 1.4 并 行 零 知识 证 明 

基本 的 零 知识 协议 包括 Peggy 和 Victor 之 间 的 次 交换 ， 可 以 把 它们 全 部 并 行 完 成 : 

(1) Peggy 使 用 她 的 信息 和 个 随机 数 把 这 个 难题 变 成 个 不 同 的 同 构 难 题 ， 然 后 用 她 
的 信息 和 随机 数 解决 这 2” 个 新 难题 。 

(2) Peggy 提交 这 ”个 新 难题 的 解法 。 

(3) Peggy 向 Victor ARX n 个 新 难题 。Victor 无 法 利用 这 些 新 难题 得 到 关于 原 问 题 或 
其 解法 的 任何 信息 。 

(4) 对 这 2 个 新 难题 中 的 每 一 个 ，Victor 要 求 Peggy: 

(a) 向 他 证 明 新 、 旧 难题 是 同 构 的 ， 或 者 
Cb) 公开 她 在 第 〈2) 步 中 提交 的 解法 ， 并 证 明 它 是 这 个 新 难题 的 解 。 

(5) Peggy 对 这 个 新 难题 中 的 每 一 个 都 表示 同意 。 

很 不 幸 ， 事 情 并 非 如 此 简单 。 该 协议 没有 同 前 协议 相同 的 零 知 识 性 质 。 在 第 〈4) 步 ， 
Victor 可 以 把 第 (2) 步 所 提交 的 所 有 值 的 单 向 散 列 函数 作为 疑问 ， 这 样 就 使 副本 不 可 冒充 。 
它 仍然 是 零 知 识 的 ， 但 属于 不 同 种 类 。 实 际 应 用 中 它 似乎 是 安全 的 ， 但 是 没有 人 知道 怎样 证 
明 它 。 我 们 确实 知道 ， 在 某 些 环境 下 ， 针 对 某 些 问题 的 某 些 协议 可 以 并 行 运 行 ， 并 同时 保留 
它们 的 零 知 识 性 质 吧 555 561 。 
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5.1.5 非 交 互 式 零 知识 证 明 

不 能 使 Carol 相信 ， 因 为 这 个 协议 是 交互 式 的 ， 并 且 她 没有 介入 交互 中 。 为 了 让 Carol 
和 其 他 感 兴趣 的 人 相信 ， 需 要 一 个 非 交互 式 的 协议 。 

人 们 已 经 发 明了 非 交 互 式 零 知 识 证 明 的 协议 72 20 。 这 些 协议 不 需要 任何 交互 ， 
Peggy 可 以 公布 它们 ， 从 而 向 任何 花 时 间 对 此 进行 检验 的 人 证 明 协 议 是 有 效 的 。 

这 个 基本 协议 类 似 于 并 行 零 知 识 证 明 ， 不 过 只 是 用 单 向 散 列 函数 代 震 了 Victor: 

(1) Peggy 使 用 她 的 信息 入 个 随机 数 把 这 个 难题 变换 成 个 不 同 的 同 构 问题 ， 然 后 用 
她 的 信息 和 随机 数 解决 这 个 新 难题 。 

(2) Peggy 提交 这 n 个 新 难题 的 解法 。 

(3) Peggy 把 所 有 这 些 提交 的 解法 作为 一 个 单 向 散 列 函 数 的 输入 〈 这 些 行为 终归 不 过 是 
一 些 位 串 ) ， 然 后 保存 这 个 单 向 散 列 函数 输出 的 头 半 位 。 

(4) Peggy 取出 在 第 (3) 步 中 产生 的 位， 针对 第 i 个 新 难题 依次 取出 这 位 中 的 第 i 

位 ， 并 且 : 

(a) 如 果 它 是 0， 则 证 明 新 、 旧 问题 是 同 构 的 ， 或 者 

(b) 如 果 它 是 1， 则 公布 她 在 第 (2) 步 中 提交 的 解法 ， 并 证 明 它 是 这 个 新 问题 的 
解法 。 

(5) Peggy 将 第 (2) 步 中 的 所 有 约定 和 第 (4) 步 中 的 解法 都 公之于众 。 

(6) Victor, Carol 或 其 他 感 兴 趣 的 人 ， 可 以 验证 第 (1) ~ (5) 步 是 否 正确 执行 。 

这 很 令 人 惊异 : Peggy 可 以 公布 一 些 不 含有 关 她 秘密 的 信息 ， 却 能 让 任何 人 相信 这 个 秘 
密 的 存在 。 如 果 把 这 个 问题 作为 初始 消息 和 要 签名 消息 的 单 向 散 列 ， 则 这 个 协议 也 可 用 于 数 
字 签 名 方案 。 

这 个 协议 起 作用 的 原因 在 于 单 向 散 列 函数 扮演 了 一 个 无 偏 随机 位 发 生 器 的 角色 。 如 果 
Peggy 要 进行 欺骗， 她 必须 能 预测 这 个 单 向 散 列 函数 的 输出 。 ( 记 住 ， 如 果 她 不 知道 这 个 难 
题 的 解法 ， 她 可 以 完成 第 (4) 步 的 (a) 或 〈b)， 但 不 能 两 者 都 完成 。 如 果 由 于 什么 原因 
她 知道 了 这 个 单 向 散 列 函数 会 叫 她 做 什么 ， 那 么 她 可 以 进行 欺骗 。 然 而 ， 她 没有 办 法 强迫 这 
个 单 向 散 列 函数 产生 哪些 位 或 猜 中 它 将 产生 哪些 位 。 这 个 单 向 散 列 函 数 在 协议 中 实际 上 是 
Victor 的 代替 物 一 一 在 第 (4) 步 中 随机 地 选择 两 个 证 明 中 的 一 个 。 

在 非 交 互 式 协议 中 ， 必 定 有 更 多 的 问 / 管 序列 迭代 。 不 是 Victor 而 是 Peggy 在 用 随机 数 
挑选 这 些 难题 ， 她 可 以 挑选 不 同 的 问题 ， 因 此 有 不 同 的 提交 向 量 ， 直 到 这 个 散 列 函数 产生 她 
希望 的 东西 为 止 。 在 交互 式 协 议 中 ，10 KÆR (Peggy 能 进行 欺骗 的 概率 为 1/2” (1/ 
1024)) 就 很 好 了 。 但 是 ， 这 对 非 交互 式 零 知识 证 明 是 不 够 的 。 记 住 ，Mallory 总 能 完成 第 
(4) 步 的 (Ca) 或 〈b)， 他 能 设法 猜测 会 他 完成 哪 一 步 ， 处 理 完 第 (1) ~ (3) 步 ， 并 和 弄 清 
他 是 否 猜 对 。 如 果 他 没有 猜 对 ， 可 以 再 试 一 一 反 反 复 复 。 在 计算 机 上 进行 1024 次 猜测 并 不 
是 难事 。 要 防止 这 种 穷 举 攻击 ， 非 交互 式 协议 需要 64 次 迭代 ,其 至 128 次 迭代 才 有 效 。 

这 就 是 使 用 单 向 散 列 函数 的 全 部 要 点 : Peggy 不 能 预测 散 列 函数 的 输出 ， 因 为 她 不 能 预 
测 其 输入 。 只 有 在 她 解决 了 新 的 难题 以 后 ， 才 能 知道 作为 输入 的 提交 。 


5.1.6 一 般 性 


Blum 证 明了 任何 数学 定理 都 能 转化 为 图 ， 使 得 这 个 定理 的 证 明 等 价 于 证 明 图 的 汉 密 尔 
顿 图 。 假 设 有 了 单 向 函数 并 因此 有 了 好 的 加 密 算 法 ， 则 任何 NP 命题 都 包括 一 个 零 知 识 证 
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明 ， 这 种 一 般 情 况 已 在 L620] 中 得 到 证 明 。 任 何 数学 证 明 都 能 转化 成 一 个 零 知识 证 明 。 采 
用 这 项 技术 ,人 研究 人 员 能 向 世人 入 证 明 他 们 知道 一 个 特殊 定理 的 解法 但 又 不 会 泄露 那个 证 明 是 
什么 。Bium 可 以 公布 他 的 结果 ， 同 时 又 不 泄露 它们 。 
此 外 ， 还 存在 最 小 泄露 证 明 (minimum-disclosure proof)”, EAA LA FEM: 
(1) Peggy 不 能 欺骗 Victor, WAR Peggy 不 知道 证 明 ， 她 使 Victor 相信 她 知道 这 个 证 明 
的 概率 非常 小 。 
(2) Victor 不 能 欺骗 Peggy. PRY Peggy 知道 证 明 这 个 事实 ， 他 得 不 到 关于 证 明 的 任何 
细微 的 线索 。 尤 其 在 他 自己 没有 完全 地 证 明 它 的 情况 下 ，Victor 不 可 能 向 其 他 人 论证 这 个 
证 明 。 
零 知 识 证 明 有 一 个 附加 条 件 : 
(3) 除了 Peggy 知道 证 明 这 个 事实 外 ，Victor 不 能 从 Peggy 处 得 到 任何 东西 ,没有 
Peggy 他 自己 不 能 得 到 有 用 的 信息 。 
最 小 泄露 证 明 与 零 知 识 证 明之 间 存 在 相当 大 的 数学 区 别 。 这 个 区 别 超越 了 本 书 的 范围 ， 
但 欢迎 愿意 深入 人 研究 的 读者 参阅 参考 书籍 。 概 念 介绍 参见 L626、619、622]。 关 于 概念 基于 
不 同 数学 假设 的 更 详尽 的 描述 在 L240、319、239]」 有 阐述 。 
以 下 是 不 同类 型 的 零 知识 证 明 : 
。 完善 的 (perfect)。 有 一 个 使 副本 与 正本 具有 相同 分 布 的 模拟 器 例如， 汉密尔顿 圈 
和 图 的 同 构 )。 

。 统计 的 〈statistical) 。 除 了 一 定数 量 的 例外 ， 有 一 个 使 副本 与 正本 具有 相同 分 布 的 
BRAD ait o 

。 计算 的 〈computational) 。 有 一 个 使 副本 与 正本 不 能 区 别 的 模拟 器 。 

。 无 用 的 (noruse)。 可 能 不 存在 模拟 器 ， 但 是 可 以 证 明 Victor 不 能 从 证 明 中 得 到 任何 
更 多 的 信息 (例如 ， 并 行 证 明 )。 

这 些 年 以 来 ， 关 于 最 少 泄露 和 零 知 识 证 明 ， 无 论 理论 上 还 是 应 用 上 ， 人 们 已 做 了 广泛 的 
工作 。 Mike Burmester 和 Yvo Desmedt 发 明了 广播 交互 式 证 明 (broadcast interactive 
proof)， 其 中 的 一 个 证 明 者 能 将 零 知识 交互 式 证 明 广 播 给 一 大 群 验 证 者 。 密 码 学 家 证 明 ， 
能 用 交互 式 证 明 来 证 明 的 每 一 件 事 ， 也 能 用 零 知 识 交 互 式 证 明 来 证 明 呈 "1 。 

[548] 是 关于 这 个 主题 的 一 篇 好 的 综述 文章 。 更 多 的 数学 上 的 细节 、 变 化 、 协 议和 应 
用 ,请 参见 1590、619、240、319、620、113、241、1528、660、238、591、617、510、 
592, 214, 104, 216, 832, 97, 939, 622, 482, 615, 618, 215, 476, 71], KFRKRE 
题 的 文章 比比 皆 是 。 


5.2 身份 的 零 知 识 证 明 


在 现实 世界 中 ， 我 们 用 物理 信物 作为 身份 证 明 : 护照 、 驾 驶 执照 、 信 用 卡 等 。 这 些 信物 
包含 了 把 它 与 一 个 人 联系 起 来 的 东西 : 通常 是 照片 或 签名 ,但 可 能 最 方便 的 是 指纹 、 视 网 膜 
扫描 图 或 牙齿 的 X 光 片 。 用 数字 方式 来 做 这 件 事 难道 不 好 吗 ? 

使 用 零 知 识 证 明 作 为 身份 证 明 最 先是 由 Uriel Feige, Amos Fiat 和 Adi Shamir 提出 
BOPP) | Alice 的 私人 密 钥 成 为 她 “身份 ”的 函数 。 通 过 使 用 零 知 识 证 明 ， 她 能 够 证 明 她 
知道 自己 的 私人 密 钥 ， 并 由 此 证 明 自 己 的 身份 。 这 类 算法 在 23. 11 节 介 绍 。 

这 个 想法 相当 有 用 ， 它 使 一 个 人 不 用 任何 实际 信物 便 能 证 明 身 份 。 但 是 ， 它 也 不 是 完美 
无 缺 的 ， 还 存在 一 些 弊 端 。 
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5.2.1 国际 象棋 特级 大 师 问 题 


Alice 是 一 个 甚至 连 国际 象棋 的 规则 也 不 知道 的 人 ， 这 里 要 介绍 她 怎样 击败 国际 象棋 特 
级 大 师 。 她 在 一 场 比赛 中 挑战 卡 斯 帕 罗 夫 和 卡尔 波 夫 ， 比 赛 同一 时 间 和 地 点 ， 但 在 不 同 的 房 
间 进 行 。 她 执 白 横 对 卡 斯 帕 罗 夫 而 执 黑 棋 对 卡尔 波 夫 ， 两 位 特级 大 师 都 不 知道 对 方 。 

卡尔 波 夫 执 白 先行 ， 走 了 第 一 步 ，Alice 记 住 这 一 步 ， 并 走 进 卡 斯 由 罗 夫 的 房间 。 她 执 
白 对 卡 斯 帕 罗 夫 走 了 同样 一 步 。 卡 斯 帕 罗 夫 走 了 一 步 黑 横 。Alice 记 下 这 一 步 ， 走 进 卡 尔 波 
夫 的 房间 ， 走 了 同样 一 步 。 这 样 持续 下 去 直到 她 赢 了 一 盘 比赛 并 输 掉 了 另 一 盘 ， 或 两 盘 比 赛 
都 以 平局 告终 。 

实际 上 ， 卡 斯 帕 罗 夫 是 在 同 卡尔 波 夫 对 局 ， 而 Alice 只 是 简单 地 扮 作 了 中 间 人 ， 模 仿 每 
一 个 特级 大 师 在 另 一 个 棋盘 上 行 横 。 然 而 ， 如 果 卡 尔 波 夫 和 卡 斯 帕 罗 夫 都 不 知道 对 方 在 场 ， 
他 们 都 会 对 Alice 的 棋艺 留 下 相当 深刻 的 印象 。 

这 种 欺骗 可 以 用 于 攻击 身份 的 零 知 识 证 明 5s'32 。 在 Alice 向 Mallory 证 明 她 的 身份 时 ， 
Mallory 同 时 能 向 Bob 证 明 他 是 Alice。 


5.2.2 黑手 党 骗局 

当 讨 论 Adi Shamir 的 零 知 识 识别 协议 时 029 ， 他 说 :“ 我 可 以 去 一 个 黑手 党 的 商店 连续 
100 万 次 ， 而 他 们 仍然 不 能 冒充 我 。” 

下 面 是 黑手 党 如 何 能 够 做 到 的 过 程 。Alice 正在 Bob 的 餐馆 一 一 一 家 黑手 党 拥有 的 餐馆 
吃饭 ，Carol 正在 Dave 的 商场 一 一 一 家 高 档 珠 宝 店 买 东 西 ，Bob 和 Carol 都 是 黑手 党 成 员 ， 
并 且 他 们 正 通过 一 条 秘密 的 无 线 电线 路 通信 。Alice 和 Dave 都 不 知道 这 个 骗局 。 

当 Alice 吃 完 饭 ， 准 备 付 账 并 对 Bob 证 明 她 的 身份 时 ，Bob 给 Carol 发 信号 通知 她 准备 
开始 这 场 骗局 。Carol 买 了 一 些 贵重 的 钻石 ， 并 准备 对 Dave 证 明 她 的 身份 。 现 在 ， 当 Alice 
对 Bob 证 明 她 的 身份 时 ，Bob 用 无 线 电 告 知 Carol, Carol 则 向 Dave 执行 相同 协议 。 当 Dave 
问 协议 中 的 一 个 问题 时 ，Carol 用 无 线 电 把 问题 回 送 给 Bob， 然 后 Bob 再 问 Alice 这 个 问题 。 
当 Alice 回答 后 ，Bob 又 用 无 线 电 链 将 正确 答案 告诉 Carol。 实 际 上 ，Alice 只 是 在 对 Dave 
证 明 她 的 身份 ， 而 Bob 和 Carol 只 是 简单 地 在 协议 中 间 来 回 传递 消息 。 当 协议 完成 时 ， 
Alice 已 对 Dave 证 明了 她 的 身份 ， 并 买 了 一 些 贵重 的 钻石 〈Carol 随 之 消失 ) 。 


5.2.3 Hi Sd Fa 


如 果 Alice 愿意 与 Carol 合作 ， 她 们 也 能 欺骗 Dave。 在 这 个 协议 中 ，Carol 是 一 个 臭名 
HA Ke at. Alice 帮助 Carol 进入 这 个 国家 。Dave 是 移民 局 的 官员 。Alice 和 Carol iff 
过 一 条 秘密 的 无 线 电 链 路 联系 。 
当 Dave 询问 Carol 零 知 识 协议 中 的 一 部 分 问题 时 ，Carol 用 无 线 电 将 它们 发 给 Alice, 
Alice 自己 回答 这 些 问 题 。Carol 向 Dave 复述 答案 。 实 际 上 ， 是 Alice 在 向 Dave 证 明 她 的 身 
Ws Carol 只 是 作为 一 条 通信 路 径 。 当 协议 完成 时 ，Dave 认为 Carol Alice 并 让 她 进入 这 
个 国家 。 三 天 后 ，Carol 同一 辆 装 满 炸 药 的 微型 车 在 某 政府 大 楼 出 现 。 


5.2.4 建议 的 解决 方法 
黑手 党 和 疏 怖 分 子 的 骗局 有 可 能 成 功 ， 因 为 同谋 者 可 以 通过 一 条 秘密 的 无 线 电 线路 通 
言 。 阻 止 这 一 切 发 生 的 一 个 办 法 是 要 求 所 有 的 识别 在 法 拉 第 时 (Faraday cage) 内 发 生 ， 这 
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样 可 以 防止 所 有 的 电磁 辐射 。 在 恐怖 分 子 的 例子 中 ， 这 将 使 移民 局 官员 Dave 确信 Carol 没 
有 从 Alice 那里 接收 到 她 的 答案 。 在 黑手 党 的 例子 中 ，Bob 可 以 简单 地 在 他 的 餐馆 内 建 一 个 
有 缺陷 的 法 拉 第 置 ， 但 珠宝 商 Dave 得 有 一 个 正常 工作 的 法 拉 第 盐 ，Bob 和 Carol 仍 不 能 通 
信 。 为 了 解决 国际 象棋 特级 大 师 问题 ， 应 强迫 Alice 坐 在 她 的 位 置 上 ， 直 到 对 弈 结束 。 

Thomas Beth 和 Yvo Desmedt 提出 了 男 一 种 解决 办 法 ， 这 种 办 法 使 用 了 很 精确 的 时 
lS) 。 如 果 协 议 中 的 每 一 步 都 必须 在 一 个 给 定 的 时 间 发 生 ， 同 谋 者 就 没有 时 间 通 信 。 在 国 
际 象棋 特级 大 师 问 题 中 ， 如 果 每 一 局 的 每 步 棋 都 必须 在 时 钟 敲 响 一 分 钟 时 走 ， 那 么 Alice 就 
没 时 间 从 一 个 房间 跑 到 男 一 个 房间 。 在 黑手 党 故事 中 ，Bob 和 Carol 也 没 时 间 互 相传 递 问 题 
和 答案 。 














52.5 多 重 身份 骗局 


在 (485, 120] 中 还 讨论 了 其 他 一 些 零 知识 身份 证 明 的 滥用 问题 。 在 一 些 实现 中 ， 当 个 
人 注册 一 个 公开 密 钥 时 不 做 检验 。 因 此 ，Alice 可 有 多 个 私人 密 钥 ， 因 而 有 多 个 身份 。 如 果 
她 想 搞 税 款 骗局 ， 这 可 能 大 有 帮助 。Alice 也 可 以 犯 了 罪 然 后 消失 。 首 先 ， 她 创造 并 公布 多 
个 吴 份 ， 其 中 一 个 她 没有 使 用 ， 接 着 她 使 用 那个 身份 一 次 并 进行 犯罪 ， 故 对 她 进行 身份 验证 
的 人 就 是 证 人 。 然 后 ， 她 立即 停止 使 用 那个 身份 ， 证 人 知道 犯罪 人 的 身份 ， 但 如 果 Alice 不 
再 使 用 那个 身份 ， 她 也 就 难以 被 发 现 。 

为 了 防止 这 种 欺骗 ， 必 须 有 某 种 机 制 来 保证 每 个 人 只 有 一 个 喘 份 。 在 文献 [120] 中 ， 
作者 提出 了 防止 掉包 婴儿 的 “古怪 ”想法 ， 这 些 婴 儿 都 不 能 克隆 ， 并 都 包含 一 个 独一无二 的 
编号 作为 他 们 遗传 密码 的 一 部 分 。 他 们 还 建议 让 每 个 婴儿 在 出 生 时 都 得 到 一 个 身份 。 (实际 
上 ， 由 于 婴儿 会 被 别人 占有 ， 所 以 父母 必须 在 孩子 出 生 时 就 做 这 项 工作 .) 这 可 能 很 容易 被 
滥用 ， 父 母 可 能 在 孩子 出 生 时 为 他 提供 多 重 身 份 。 归 根 结 底 ， 个 体 的 唯一 性 仍 基于 信任 。 





5.2.6 出 租 护照 


Alice 想 去 扎 伊 尔 旅游 ， 但 该 政府 不 给 她 签证 。Carol 提出 把 她 的 身份 租 给 Alices (Bob 
首先 提议 ， 但 有 一 些 明 显 的 问题 .) Carol 把 她 的 私人 密 钥 卖 给 Alice，Alice 伪装 成 Carol 去 
扎 伊 尔 。 

Carol 不 但 因为 她 的 身份 得 到 报酬 ， 而 且 她 还 有 一 个 完美 的 不 在 现场 证 明 。 当 Alice 在 
扎 伊 尔 期 间 ，Carol 犯 了 罪 。“Carol” 已 经 在 扎 伊 尔 证 明了 她 的 身份 。 她 怎么 能 回 家 作案 呢 ? 

当然 ，Alice 也 可 以 随意 作案 。 她 或 者 在 离开 前 或 者 在 返回 后 在 Carol 家 附近 作案 。 首 
先 ， 她 证 明 自 己 是 Carol (她 有 Carol 的 私人 密 钥 ， 故 她 能 轻易 做 到 ) ， 然 后 作案 潜逃 ， 和 警察 
将 会 来 找 Carol, Carol 宣称 她 把 身份 租 给 了 Alice， 但 谁 会 相信 这 个 荡 雇 的 故事 呢 ? 

问题 在 于 Alice 并 没有 真正 证 明 她 的 身份 ， 她 只 是 证 明 她 知道 的 一 部 分 秘密 信息 。 正 是 
那个 属于 信息 和 人 之 间 的 联系 被 滥用 了 。 防 止 掉包 婴儿 的 解决 办 法 可 防止 这 类 骗局 ， 如 同 在 
一 个 警察 国家 ， 那 里 所 有 的 市 民 必 须 经 常 证 明 他 们 的 身份 (每 天 晚上 、 每 个 街道 抛 角 处 等 )。 


5.2.7 成 员 资 格 证 明 


Alice 想 向 Bob 证 明 她 是 某 超级 秘密 组 织 的 成 员 ， 但 又 不 想 暴露 自己 的 身份 。 这 个 问题 
类 似 于 但 又 不 同 于 身份 证 明 问题 ， 在 文献 [887、906、907、1201、1445] 中 也 有 研究 。 有 
些 解决 方法 和 团体 签名 问题 有 联系 〈 见 4.6 节 ) 。 
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5.3 BEA 


数字 签名 协议 的 一 个 基本 特征 是 文件 的 签署 者 知道 他 们 在 签署 什么 。 这 是 个 好 的 构想 ， 
除非 当 我 们 不 想 让 他 们 知道 时 。 

有 时 候 我 们 想 要 别人 签署 一 个 他 们 从 未 看 过 其 内 容 的 文件 。 也 有 办 法 让 签名 者 能 大 体 知 
道 他 们 要 签署 的 是 什么 文件 ， 只 不 过 不 准确 而 已 。 


5.3.1 完全 盲 签名 


Bob 是 一 个 公证 员 ，Alice 要 他 签署 一 个 文件 ， 但 又 不 想 让 他 知道 文件 内 容 。Bob 不 关 
心 文件 中 说 些 什么 ， 他 只 是 证 明 他 在 某 一 时 刻 公 证 过 这 个 文件 。 他 愿意 这 样 进 行 : 

(1) Alice 取出 文件 并 将 它 乘 以 一 个 随机 值 ， 这 个 随机 值 称 为 盲 因子 (blinding factor), 

(2) Alice 将 这 份 隐 蔽 好 的 文件 送 给 Bob. 

(3) Bob 在 这 个 隐蔽 好 的 文件 上 签名 。 

(4) Alice 将 其 除 以 隐蔽 因子 ， 留 下 Bob 签 过 的 原始 文件 。 

只 有 当 签 名 函数 和 乘法 函数 可 交换 时 ， 这 个 协议 才能 有 效 。 如 果 不 是 ， 可 用 其 他 方法 来 
代替 乘法 以 修改 文件 ，23. 12 节 中 描述 了 相关 的 算法 。 现 在 ， 假 设 运算 是 乘法 ， 并 且 所 有 数 
学 上 的 要 求 都 满足 。 

Bob 能 进行 欺骗 吗 ? 他 能 收集 到 他 所 签署 文件 的 任何 信息 吗 ? 如 果 盲 因子 是 真正 随机 的 
并 使 隐蔽 文件 真正 随机 ， 那 么 他 不 能 。 在 第 (2) 步 中 ，Bob 签署 的 隐蔽 好 的 文件 一 点 也 不 
像 Alice 开始 使 用 的 文件 。 在 第 G) BH, 带 有 Bob 签名 的 隐藏 好 的 文件 也 一 点 不 像 第 
(4) 步 末 的 已 签名 的 原始 文件 。 即 使 Bob 可 染指 这 个 文件 ， 并 且 文 件 上 带 有 他 的 签名 ， 在 
完成 这 个 协议 之 后 ， 他 也 不 能 证 明 〈 向 他 自己 或 任何 其 他 人 ) 他 在 那个 特殊 的 协议 中 签署 了 
这 个 文件 。 他 知道 他 的 签名 是 有 效 的 。 他 也 可 以 像 其 他 人 一 样 验证 他 的 签名 。 但 是 ， 他 没有 
办 法 把 已 签名 的 文件 和 他 在 协议 中 收 到 的 任何 信息 相关 联 。 如 果 他 用 这 个 协议 签 了 100 万 份 
文件 ， 他 照样 没有 办 法 知道 在 哪 种 情况 下 他 签署 了 哪 一 份 文件 。 

pt 

Bob 在 文件 上 的 签名 是 有 效 的 。 签 名 就 是 Bob 签署 这 份 文件 的 证 据 。 如 果 把 文件 给 
Bob Æ., Bob 确信 他 签署 过 这 份 文 件 。 它 也 具有 在 2. 6 节 中 讨论 过 的 数字 签名 具有 
的 所 有 其 他 性 质 。 

。 Bob 不 能 把 签署 文件 的 行为 与 签署 的 文件 相关 联 。 即 使 他 记 下 了 他 所 做 的 每 一 个 盲 

签名 ， 他 也 不 能 确定 他 在 什么 时 候 签署 了 该 文件 。 

Eve 在 中 间 观 看 了 这 个 协议 ， 他 得 到 的 信息 甚至 比 Bob 还 少 。 


5.3.2 盲 签名 协议 

用 完全 盲 签名 协议 ，Alice 能 让 Bob 签署 任何 东西 : TE 万 美元 ,”“Bob R 
Alice 的 头 生子 ,”“Bob K Alice 一 袋 软 糖 ,” 可 能 的 事 远 远 不 止 于 此 。 这 个 协议 在 许多 场合 
都 无 用 。 

然而 ， 有 一 个 办 法 可 以 让 Bob 知道 他 在 签 什 么 ， 同 时 仍 保持 盲 签名 的 有 用 性 质 。 这 个 
协议 的 核心 是 分 割 选择 技术 。 考 虑 一 个 例子 ， 每 天 很 多 人 进入 这 个 国家 ， 而 移民 局 要 确信 他 
们 没有 走私 可 卡 因 。 官 员 可 以 搜查 每 一 个 人 ， 但 他 们 换 用 了 一 种 概率 解决 办 法 。 他 们 检查 人 
境 人 中 的 1/10。10 个 人 中 有 1 个 人 的 行李 被 检查 ， 其 余 的 9 个 畅通 无 阻 。 长 期 的 走私 犯 会 
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在 大 多 数 时 间 里 道 遥 法 外 ， 但 他 们 有 10% 的 机 会 被 抓 住 。 并 且 如 果 法 院 制度 有 效 ， 则 抓 住 
一 次 的 处 罚 将 远 远 超出 其 他 9 次 所 得 到 的 。 

如 果 移 民 局 想 增 大 抓 住 走私 犯 的 可 能 性 ， 将 不 得 不 搜查 更 多 的 人 ; 如 果 他 们 要 减少 这 种 
可 能 性 ， 只 需 搜查 更 少量 的 人 。 通 过 操纵 概率 ， 他 们 可 以 控制 抓 住 走私 犯 协议 的 成 功率 。 

盲 签名 协议 以 类 似 的 方式 发 挥 作用 。Bob 将 得 到 一 大 堆 不 同 的 隐蔽 好 的 文件 ， 他 打开 
Copen) 即 检查 除 一 个 文件 以 外 的 所 有 文件 ， 然 后 对 最 后 一 个 文件 签名 。 

把 隐蔽 文件 想象 为 装 在 信封 里 ， 隐 项 文件 的 过 程 就 是 把 文件 装 进 信封 ， 去 除 隐 项 因子 就 
是 打开 信封 。 当 文件 在 信封 里 时 ， 没 人 能 读 它 。 文 件 通 过 在 信封 里 放 一 张 复写 纸 来 签署 : 当 
签名 人 签署 信封 时 ， 他 的 签名 通过 复写 纸 也 签 在 了 文件 上 。 

这 个 剧情 涉及 一 组 反 间 谍 人 员 。 他 们 的 身份 是 秘密 的 ， 甚 至 反 间 谍 机 构 也 不 知道 他 们 是 
谁 。 这 个 机 构 的 头子 想 给 每 个 特工 一 份 签名 的 文件 ,文件 上 写 有 : “这 个 签名 文件 的 持 有 人 
(这 里 插入 特工 的 化 名 ) 享有 完全 的 外 交 和 豁免 权 。” 所 有 的 特工 有 他 们 自己 的 化 名 名 单 ， 故 这 
个 机 构 不 能 仅仅 是 分 发 签名 文件 。 特 工 不 想 把 他 们 的 化 名 送 给 所 属 机 构 、 敌 方 或 者 已 经 破坏 
了 这 个 机 构 的 计算 机 。 男 一 方面 ， 机 构 也 不 想 盲 目地 签 特 工 送 来 的 文件 。 聪 明 的 特工 可 能 会 
代 之 一 条 消息 ， 如 “特工 (名字 ) 已 经 退休 并 获得 每 年 100 万 美元 的 养老 金 。 签 名 : 总统 先 
生 ”。 在 这 种 情况 下 ， 盲 签名 可 能 是 有 用 的 。 

假设 所 有 特工 都 有 10 个 可 能 的 化 名 ， 这些 化 名 都 是 他 们 自己 选 的 ， 别人 不 知道 。 同 时 
假设 特工 并 不 关心 他 们 将 在 哪个 化 名 下 得 到 外 交 蔬 免 权 。 再 假设 这 个 机 构 的 计算 机 是 情报 局 
大 型 情报 计算 机 ALICE， 我 们 的 特定 代理 部 门 是 波哥大 行动 局 (BOB) 。 

(1) BOB 准备 了 份 文件 ， 每 一 个 使 用 不 同 的 化 名 ， 并 给 予 那个 特工 外 交角 免 权 。 

(2) BOB 用 不 同 的 盲 因子 隐蔽 每 个 文件 。 

(3) BOB 把 这 2” 份 隐 蔽 好 的 文件 发 送 给 ALICE, 

(4) ALICE 随机 选择 n—1 份 文件 并 向 BOB 索要 每 份 文件 的 盲 因子 。 

(5) BOB 向 ALICE 发 送 适当 的 盲 因子 。 

(6) ALICE 打开 〈 即 去 掉 盲 因子 ) ”一 1 份 文件 ， 并 确信 它们 是 正确 的 
授权 。 

(7) ALICE 在 第 10 个 文件 上 签名 并 把 它 送 给 BOB。 

(8) BOB 去 掉 盲 因子 并 读 出 他 的 新 化 名 :“The Crimson Streek”。 签 署 的 文件 在 那个 名 
字 下 给 予 他 外 交 跑 免 权 。 

这 个 协议 能 防止 BOB 欺骗 。 他 要 欺骗 ， 则 必须 准确 地 预测 ALICE 不 会 检查 哪 一 份 文 
件 。 他 这 样 做 的 机 会 是 1/n， 不 是 很 好 。ALICE 也 知道 这 一 点 并 且 有 把 握 签 一 份 她 不 可 能 
检查 的 文件 。 用 这 份 文件 ， 这 个 协议 就 和 先前 的 盲 签名 协议 一 样 ， 并 保持 了 它 所 有 的 匿名 
性 质 。 

有 一 种 方法 可 以 使 BOB 的 欺骗 机 会 更 小 ， 在 第 (4) 步 中 ，ALICE 随机 选择 n/2 份 文 
件 提出 质疑 ， 并 在 第 (5) 步 中 发 送 给 她 合适 的 盲 因子 。 在 第 (7) 步 中 ，ALICE 将 所 有 
非 质 疑 文件 相 乘 并 签署 这 分 大 文件 。 在 第 (8) 步 中 ，BOB 去 掉 所 有 的 盲 因子 ，ALICE 的 
签名 只 有 在 它 是 n/2 相同 文件 乘积 的 有 效 签名 时 才 可 以 接受 。 要 欺骗 ，BOB 就 得 能 够 准 
确 地 猜测 ALICE 将 质疑 哪 一 个 子 集 ， 其 机 会 比 猜测 ALICE 不 会 质疑 哪 一 份 文件 的 机 会 小 
得 多 。 

BOB 有 男 一 种 方法 进行 欺骗 。 他 可 产生 两 份 不 同 的 文件 ， 一 份 ALICE 愿意 签署 ， 一 份 
ALICE 不 愿 签署 。 然 后 他 可 以 找 两 个 不 同 的 讶 因子 ， 把 每 份 文件 变 成 相同 的 隐蔽 文件 。 这 
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样 ， 如 果 ALICE 要 检查 文件 ，BOB 就 给 她 把 文件 变 成 良性 文件 的 盲 因 子 ; 如 果 ALICE 不 
要 求 看 文件 ， 并 签署 文件 ， 则 他 可 以 使 用 把 文件 变 为 恶意 文件 的 盲 因子 。 虽 然 这 在 理论 上 是 
可 行 的 ， 但 涉及 特定 算法 ，BOB 能 找到 这 样 一 对 盲 因子 的 机 会 微乎其微 。 实 际 上 ， 可 以 使 
ES BOB 自己 在 一 份 任意 消息 上 签名 的 机 会 一 样 小 。 这 个 问题 在 23. 12 节 中 进一步 讨论 。 
5.3.3 专利 

Chaum 已 取得 了 多 种 盲 签名 的 专利 ( 见 表 5-1). 


表 5-1 Chaum 的 盲 签名 专利 





美国 专利 号 时 间 专利 名 称 
4759 063 7/19/88 盲 签名 系统 [323] 

4759 064 7/19/88 非 参 与 盲 签 名 系统 2 
eee 3/3/90 一 次 显示 讶 签名 系统 [2 
A 8/14/90 返回 值 讶 签名 系统 G3 
a 2/5/91 A BI EAE RA 


54 基于 身份 的 公开 密 钥 密码 系统 


Alice 想 发 送 一 秘密 消息 给 Bob。 她 不 想 从 密 钥 服务 器 中 获得 他 的 公开 密 铀 ， 也 不 想 在 
他 的 公开 密 钥 证 书 上 验证 某 个 第 三 方 的 签名 ， 她 甚至 不 愿意 在 她 自己 的 计算 机 上 存储 Bob 
的 公开 密 钥 。 她 只 想 给 Bob 发 送 一 份 秘密 消息 。 

基于 身份 的 密码 系统 (identity-based cryptosystem)， 有 时 也 叫做 非 交 互 式 密 钥 共 享 
(Non Interactive Key Sharing, NIKS) 系统 ， 可 以 解决 发 送 秘 密 消 息 问题 "站 。Bob 的 公开 
密 钥 是 基于 他 的 名 字 和 网 络 地 址 的 (或 者 电话 号 码 ， 或 者 实际 街区 地 址 ,或 者 其 他 什么 东 
西 )。 对 于 一 般 的 公开 密 钥 密码 系统 ，Alice 需要 一 个 使 Bob 的 身份 与 他 的 公开 密 钥 相关 的 
签名 证 书 。 对 于 基于 身份 的 密码 系统 ，Bob 的 公开 密 钥 就 是 他 的 身份 。 这 是 一 个 真正 绝妙 的 
主意 ， 就 像 邮 政 系统 一 样 方便 : 如 果 Alice 知道 Bob 的 地 址 ， 她 就 可 以 给 Bob 发 送 保密 邮 
件 。 它 使 密码 变 得 尽 可 能 透明 。 

这 个 系统 是 建立 在 Trent 依据 其 身份 给 用 户 发 布 私人 密 钥 的 基础 上 。 如 果 Alice 的 私人 
密 钥 泄露 ， 她 就 必须 在 某 些 方面 改变 身份 ， 以 求 得 到 另 一 个 私人 密 钥 。 一 个 更 严重 的 问题 是 
系统 的 设计 方法 应 使 不 诚实 用 户 串 通 也 无 法 伪造 密 钥 。 

对 于 这 类 方案 的 数学 问题 已 做 了 大 量 研究 工作 〈 大 部 分 在 日 本 )， 使 得 保密 变 得 异常 复 
杂 。 许 多 建议 的 解决 方案 中 涉及 Trent 为 每 个 用 户 选择 一 个 随机 数 一 一 我 认为 这 点 可 以 解决 
系统 的 真正 要 害 。 在 第 19 章 和 第 20 章 讨论 的 一 些 算法 可 以 是 基于 身份 的 。 有 关 细 节 、 算 法 
和 密码 分 析 ， 见 文献 [191、1422、891、1022、1515、1202、1196、908、692、674、1131、 
1023, 1516, 1536, 1544, 63, 1210, 314, 313, 1545, 1539, 1543, 933, 1517, 748, 
1228]。 一 种 不 依赖 任何 随机 数 的 算法 见 [1035]。 在 (1546, 1547, 1507] 中 讨论 的 系统 对 
选择 公开 密 钥 攻击 是 不 安全 的 。 建 议 的 系统 ， 如 NIKS-TAS(¢21940.1941.993.375.1538) 也 是 如 此 。 
老实 说 ， 迄 今 为 止 所 有 系统 没有 一 个 是 既 实用 又 安全 的 。 


5.5 不 经 意 传输 
密码 员 Bob 正在 拼命 地 想 将 一 个 500 位 的 数 n 进行 因子 分 解 。 他 知道 它 是 5 个 100 位 的 
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数 的 乘积 ， 但 不 知道 其 他 更 多 的 东西 。( 这 是 一 个 问题 。 如 果 他 不 能 恢复 这 个 密 钥 ， 他 就 得 
加 班 工作 ， 势 必 错 过 他 和 Alice 每 周一 次 的 智力 扑克 游戏 。) 
你 知道 什么 ? 现在 Alice KT: 


“我 碰巧 知道 那个 数 的 一 个 因子 ,”Alice 说 : “并 且 我 要 100 美元 才 把 它 卖 给 
你 。 那 是 1 位 1 美元 。” 为 了 表明 她 的 诚意 ， 她 使 用 一 个 位 承诺 方案 并 分 别 承诺 每 
1 位 。 

Bob 很 感 兴趣 ， 但 他 只 有 50 美元 。Alice 又 不 愿 降价 ， 只 愿意 以 一 半 的 价格 卖 
给 Bob 一 半 的 位 。“ 这 将 会 节省 你 相当 多 的 工作 ,” 她 说 。 

“但 是 我 怎么 知道 你 的 数 确实 是 n 的 一 个 因子 呢 ? 如 果 你 给 我 看 那个 数 并 让 我 
验证 它 是 一 个 因子 ， 那 么 我 将 同意 你 的 条 件 ,”Bob 说 。 

RATA THAR. Alice 不 能 在 不 透露 浆 的 情况 下 让 Bob 相信 她 的 数 是 nn 的 一 
个 因子 ， 而 Bob 也 不 愿 买 一 个 可 能 毫 无 用 处 数 的 50 位 。 


这 个 借 自 Joe kilian” 的 故事 ， 介 绍 了 不 经 意 传 输 (oblivious transfer) 的 概念 。Alice 
传送 一 组 消息 给 Bob, Bob 收 到 了 那些 消息 的 某 个 子 集 ， 但 Alice 不 知道 他 收 到 了 哪些 消息 。 
然而 这 并 没有 彻底 解决 上 面 的 问题 。 在 Bob 收 到 那些 位 的 任意 一 半 后 ，Alice 还 得 用 一 个 零 
知识 证 明 来 使 他 相信 她 发 送 的 那些 位 是 n 的 因子 的 一 部 分 。 

在 下 面 的 协议 中 ，Alice 将 发 送 给 Bob 两 个 消息 中 的 一 个 。Bob 将 收 到 其 中 的 一 份 消息 ， 
并 且 Alice 不 知道 是 哪 一 个 。 

(1) Alice 产生 两 个 公开 密 钥 / 私 人 密 钥 对 ， 或 者 总 共 4 个 密 钥 。 她 把 两 个 公开 密 钥 发 送 
给 Bob, 

(2) Bob 选择 一 个 对 称 算法 〈 例 如 DES) 密 钥 。 他 选择 Alice 的 一 个 公开 密 钥 并 用 它 加 
密 他 的 DES 密 钥 。 他 把 这 个 加 密 的 密 钥 发 送 给 Alice， 但 不 告诉 她 他 使 用 的 是 她 的 哪 一 个 公 

(3) Alice 每 次 使 用 一 个 她 的 私人 密 钥 来 解密 Bob 的 密 钥 。 在 一 种 情况 下 ， 她 使 用 了 正 
确 的 密 钥 并 成 功 地 解密 Bob 的 DES 密 钥 。 在 另 一 种 情况 下 ， 她 使 用 了 错误 的 密 铀 ， 只 是 产 
生 了 一 堆 毫 无 意义 而 看 上 去 又 像 一 个 随机 DES 密 钥 的 位 。 由 于 她 不 知道 正确 明文 ， 所 以 她 
不 知道 哪个 是 正确 的 。 

(4) Alice 加 密 她 的 两 个 消息 ， 分 别 使 用 在 上 一 步 中 产生 的 两 个 DES 密 钥 (一 个 真 的 和 
一 个 毫 无 意义 的 )， 并 把 两 个 消息 都 发 送 给 Bob. 

(5) Bob 收 到 一 个 用 正确 DES 密 钥 加 密 的 消息 和 一 个 用 无 意义 DES 密 钥 加 密 的 消息 。 
当 Bob 用 他 的 DES 密 钥 解密 每 一 份 消息 时 ， 他 能 读 其 中 之 一 ， 另 一 份 在 他 看 起 来 毫 无 意义 。 

Bob 现在 有 了 Alice 两 份 消息 中 的 一 个 ， 而 Alice 不 知道 他 能 读 懂 哪 一 个 。 很 遗憾 ， 如 
果 协 议 到 此 为 止 ，Alice 就 有 可 能 进行 欺骗 ， 故 另 一 个 步骤 必 不 可 少 : 

(6) 在 协议 完成 ， 并 且 知 道 了 两 种 可 能 传输 的 结果 后 ，Alice 必须 把 她 的 私人 密 钥 给 
Bob， 以 便 他 能 验证 她 没有 进行 欺骗 。 毕 竞 ， 她 可 以 用 第 (4) 步 中 的 两 个 密 钥 加 密 同一 个 
消息 。 

当然 ， 这 时 Bob 可 以 和 弄 清 楚 第 二 个 消息 。 

因为 Alice 无 法 知道 两 个 DES 密 钥 中 的 哪 一 个 是 真 的 ， 所 以 这 个 协议 能 防止 Alice 的 攻 
击 。 她 加 密 两 份 消息 , 但 Bob 只 能 恢复 出 其 中 之 一 一 一 一 直到 第 (6) 步 。 它 同样 能 防止 
Bob 的 攻击 ， 因 为 在 第 (6) 步 之 前 ,他 没有 办 法 得 到 Alice 的 私人 密 钥 来 确定 加 密 另 一 个 
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消息 的 DES 密 钥 。 这 可 能 看 起 来 仍然 不 过 像 一 个 较 复 杂 的 通过 调制 解 调 器 抛掷 硬币 的 方法 ， 
但 当 把 它 用 于 较 复杂 的 协议 时 ， 它 具有 广泛 的 意义 。 

当然 ， 没 有 办 法 阻止 Alice 发 送 给 Bob 两 份 完全 无 用 的 消息 :“Nyah nyah” 和 “You sucker”。 
这 个 协议 确保 Alice 发 送 给 Bob 两 份 消息 中 的 一 份 ， 但 不 保证 Bob 想 收 到 其 中 的 任何 一 份 。 

在 文献 中 还 有 其 他 的 不 经 意 传输 协议 。 其 中 有 些 是 非 交 互 式 的 ， 即 Alice 可 以 公布 她 的 
两 份 消息 ， 并 且 Bob 只 能 收 到 其 中 一 份 。 他 能 自己 做 此 事 ， 不 必 与 Alice ii fa’. 

没有 人 真正 注意 实际 中 能 和 否 进行 不 经 意 传输 ， 但 这 个 概念 却 是 其 他 协议 的 重要 构成 部 
分 。 尽 管 有 许多 种 不 经 意 传输 〈 我 有 两 个 秘密 你 得 到 一 个 、 我 有 ?个 秘密 你 得 到 一 个 、 我 有 
一 个 秘密 你 可 能 得 到 其 中 的 1/2 ED, 但 它们 都 是 等 价 的 1。 


5.6 不 经 意 签名 

说 实话 ， 我 不 认为 它们 好 用 ,但 是 有 两 种 类 型 : 

(1) Alice 及 n 份 不 同 的 消息 。Bob 可 以 选择 其 中 之 一 给 Alice 签名 ，Alice 没有 办 法 知 
道 她 签署 的 哪 一 份 消息 。 

(2) Alice 有 一 份 消息 。Bob 可 以 选择 nn 个 密 钥 中 的 一 个 给 Alice 签署 消息 用 ，Alice 无 
法 知道 她 用 的 是 哪 一 个 密 钥 。 

这 是 一 个 巧妙 的 想法 ,我 相信 它 在 某 些 地 方 有 用 。 


57 同时 签约 


5.7.1 带 有 仲裁 者 的 签约 


Alice 和 Bob 想 订立 一 个 合约 。 他 们 已 经 同意 了 其 中 的 措 词 ， 但 每 个 人 都 想 等 对 方 签名 
后 再 签名 。 如 果 是 面对面 的 ， 这 很 容易 : 两 人 一 起 签 。 如 果 距 离 远 的 ， 他 们 可 以 用 一 个 仲 
RH. 

(1) Alice 签署 合约 的 一 份 副 本 并 发 送 给 Trent, 

(2) Bob 签署 合约 的 一 份 副 本 并 发 送 给 Trent 。 

(3) Trent 发 送 一 份 消息 给 Alice 和 Bob， 指 明和 披 此 都 已 签约 。 

(4) Alice 签署 合约 的 两 份 副本 并 发 送 给 Bob。 

(5) Bob 签署 合约 的 这 两 份 副本 ， 自 己 留 下 一 份 ， 并 把 另 一 份 发 送 给 Alice, 

(6) Alice 和 Bob 都 通知 Trent 他 们 每 个 人 都 有 了 一 份 有 他 们 两 人 合 签 的 合约 副本 。 

(7) Trent 撕毁 在 每 一 份 上 只 有 一 个 签名 的 两 份 合 约 副 本 。 

这 个 协议 可 行 ， 因 为 Trent 防止 双方 中 的 某 一 方 进行 欺骗。 如 果 在 第 〈5) 步 中 Bob JE 
绝 签约 ，Alice 可 以 向 Trent 要 求 一 份 已 经 由 Bob 签署 的 合约 副本 ;如 果 在 第 〈4) 步 中 Alice 
拒绝 签名 ，Bob 也 可 以 这 么 做 。 当 在 第 (3) 步 中 Trent 指明 他 收 到 了 两 份 合 约 ，Alice 和 
Bob 知道 彼此 已 受到 和 约 的 约束 。 如 果 Trent 在 第 (1) 和 第 (2) 步 中 没有 收 到 这 两 份 合 
约 ， 他 便 撕 掉 已 收 到 的 那 份 ， 则 两 方 都 不 受 合约 约束 。 


w x wv 


w 


5.7.2 无 需 仲裁 者 的 同时 签约 : 面对面 
如 果 Alice 和 Bob 正面 对 面 坐 着 ， 那 么 他 们 可 以 这 样 来 签约 5 ， 
(1) Alice 签 上 她 名 字 的 第 一 个 字母 ， 并 把 合约 递 给 Bob。 
(2) Bob 签 上 他 名 字 的 第 一 个 字母 ， 并 把 合约 递 给 Alice. 
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(3) Alice 签 上 她 名 字 的 第 二 个 字母 ， 并 把 合约 递 给 Bob, 

(4) Bob 签 上 他 名 字 的 第 二 个 字母 ， 并 把 合约 递 给 Alice, 

(5) 这 样 继续 下 去 ， 直 到 Alice 和 Bob 都 签 上 他 们 的 全 名 。 

如 果 你 忽视 掉 这 个 协议 的 一 个 明显 问题 ( 即 Alice 的 名 字 比 Bob 长 )， 这 个 协议 照样 有 
效 。 在 只 签 了 一 个 字母 之 后 ，Alice 知道 法 官 不 会 让 她 受 合约 条 款 约 束 。 但 签 这 个 字母 是 有 
诚意 的 举动 ， 并 且 Bob 回 之 以 同样 有 诚意 的 举动 。 

在 每 一 方 都 签 了 几 个 字母 之 后 ， 或 许可 以 让 法 官 相信 双方 已 签 了 合约 ， 虽然 如 此 ， 细 节 
却 是 模糊 的 。 当 然 在 只 签 了 第 一 个 字母 后 他 们 确实 不 受 约束 ， 正 如 在 签 了 全 名 之 后 他 们 理 所 
当然 受 合约 约束 一 样 。 在 协议 中 哪 一 点 上 他 们 算是 正式 签约 呢 ? 在 签 了 他 们 名 字 的 1/2 之 
后 ? 2/3 之 后 ? 3/4 之 后 ? 

因为 Alice 或 Bob 都 不 是 她 或 他 受 约束 的 准确 点 ， 他 们 每 一 位 至 少 有 些 担心 她 或 他 在 整 
个 协议 上 都 受 合约 约束 。Bob 在 任 一 点 上 都 无 法 说 :“ 你 签 了 4 个 字母 而 我 只 签 了 3 个 ， 你 
ZAR, BREZ.” Bob 也 没有 理由 不 继续 这 个 协议 。 而 且 ， 他 们 继续 得 越久 ， 法 官 裁决 
他 们 受 合 约 约束 的 概率 越 大 。 另 外 ， 也 不 存在 不 继续 执行 这 个 协议 的 理由 。 上 毕竟 他 们 都 想 签 
约 ， 他 们 只 是 不 想 先 于 另 一 方 签约 。 


5.7.3 无 需 仲裁 者 的 同时 签约 : 非 面对面 


这 个 协议 使 用 了 同一 类 型 的 不 确定 性 529 。Alice 和 Bob 轮流 采用 小 步骤 签署 ， 直 到 双 
方 都 签约 为 止 。 

在 这 个 协议 中 ，Alice 和 Bob 交换 一 系列 下 面 这 种 形式 的 签名 消息 :“ 我 同意 我 以 概率 p 
接受 这 个 合约 约束 。” 

消息 的 接收 方 可 以 把 它 提交 给 法 官 ， 法 官 用 概率 p 考虑 被 签署 的 合约 。 

(1) Alice 和 Bob 就 签约 应 当 完 成 的 日 期 达成 一 致意 见 。 

(2) Alice 和 Bob 确定 一 个 双方 都 愿意 用 的 概率 差 。 例 如 ，Alice 可 以 决定 她 不 愿 以 超过 
Bob 概率 2% 以 上 的 概率 受 合约 约束 。 设 Alice 的 概率 差 为 a，Bob 的 概率 差 为 5， 

(3) Alice 发 送 给 Bob 一 份 p=a 的 已 签署 的 消息 。 

(4) Bob 发 送 给 Alice 一 份 p= 二 a 十 b 已 签署 的 消息 。 

(5) $ pH Alice 在 前 一 步 中 从 Bob 那里 收 到 消息 的 概率 。Alice 发 送 给 Bob 一 份 p' = 
Zp 十 a 或 1 中 较 小 的 已 签署 的 消息 。 

(6) $ p H Bob 在 前 一 步 中 从 Alice 那里 收 到 消息 的 概率 。Bob 发 送 给 Alice 一 份 p'= 
pb 或 1 中 较 小 的 已 签署 消息 。 

(7) Alice 和 Bob 继续 交替 执行 第 (5) 步 和 第 (6)〉 步 ， 直 到 双方 都 收 到 p=1 的 消息 ， 
或 者 已 到 了 在 第 (1) 步 中 达成 一 致 的 日 期 。 

随 着 协议 的 进行 ，Alice 和 Bob 都 以 越 来 越 大 的 概率 同意 接受 合约 约束 。 例 如 ， 
Alice 定 义 她 的 a 为 2%，Bob 定义 他 的 5 为 1% (如 果 他 们 选择 较 大 的 增 量 则 更 好 )。 
Alice 的 第 一 份 消息 可 能 声明 她 以 2% 的 概率 受 约束 ，Bob 可 能 回答 他 以 3% 的 概率 接受 
AR, Alice 的 下 一 份 消息 可 能 声明 她 以 5% 的 概率 受 约束 等 ， 直 到 双方 都 以 100% 的 概 
率 受 约束 。 

如 果 在 完成 日 期 之 前 Alice 和 Bob 两 者 完成 了 这 个 协议 ， 则 万 事 大 吉 ; 否则， 任何 一 方 
都 可 把 合约 拿 给 法 官 ， 并 同时 递 上 另 一方 最 后 签署 的 消息 ， 法 官 在 看 合约 之 前 在 0 或 1 之 间 
随机 选择 一 个 。 如 果 这 个 值 小 于 另 一 方 签名 的 概率 ， 则 双方 都 受 合约 约束 。 如 果 这 个 值 大 于 
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那个 概率 ， 则 双方 都 不 受 约束 〈 法 官 接着 保存 这 个 值 ， 以 防 需 判定 涉及 同一 合约 的 其 他 事 
件 )。 这 就 是 以 概率 p 受 合约 约束 的 意思 。 

这 是 一 个 基本 的 协议 ， 但 还 可 以 有 更 复杂 的 协议 。 法 官 可 在 一 方 缺 席 的 情况 下 做 出 判 
决 ， 法 官 的 判决 可 约束 双方 都 受 或 都 不 受 约束 ， 不 存在 一 方 受 约束 而 男 一 方 不 受 约束 的 情 
况 。 而 且 只 要 一 方 愿 意 比 另 一 方 稍微 高 一 点 (不管 多 小 ) 的 概率 受 约束 ， 这 个 协议 将 终止 。 





5.7.4 无 需 仲 裁 者 的 同时 签约 : 使 用 密码 系统 

这 种 密码 协议 使 用 了 同样 的 小 步 进 方法 号 5 。 在 协议 描述 中 使 用 了 DES 算法 ， 但 也 可 用 
任意 一 种 对 称 算法 。 

(1) Alice 和 Bob 两 者 随机 选择 2n 个 DES 密 钥 ， 分 成 一 对 对 的 。 这 些 密 钥 对 没有 什么 
特别 之 处 ， 它 们 只 是 因 协 议 要 求 而 那样 分 组 。 

(2) Alice 和 Bob 都 产生 n 对 消息 ， 例 如 工 ; 和 R;: “这 是 我 的 第 i 个 签名 的 左 半 部 分 ” 
和 :“ 这 是 我 的 第 i 个 签名 的 右 半 部 分 。” 标 识 符 i 从 1~n。 每 份 消息 可 能 也 包含 合约 的 数字 
签名 和 时 间 标 记 。 如 果 男 一 方 能 产生 一 个 单 签名 对 的 两 半 上; 和 R;， 那 么 就 认为 合约 已 被 
签署 。 

(3) Alice 和 Bob 两 者 用 每 个 DES 密 钥 对 加 密 他 们 的 消息 对 ， 左 半 消 息 用 密 钥 对 中 的 左 
密 钥 ， 右 半 消 息 用 密 钥 对 中 的 右 密 钥 。 

(4) Alice 和 Bob 相互 发 送 给 对 方 2n 个 加 密 消 息 ， 弄 清 哪 个 消息 是 哪 对 消息 的 哪 一 半 。 

(5) Alice 和 Bob 利用 每 一 对 的 不 经 意 传 输 协 议 相 互 送 给 对 方 ， 即 Alice 送 给 Bob 或 者 
用 于 独立 加 密 n 对 消息 中 每 一 对 左 半 消 息 的 密 钥 ; 或 者 用 于 加 密 右 半 消息 的 密 钥 。Bob 也 
这 样 做 。 他 们 可 以 交替 地 发 送 这 些 “ 半 消息 ”或 者 先 发 送 100 对 ， 接 着 再 发 送 其 余 的 一 一 
这 都 没有 关系 。 现 在 Alice 和 Bob 都 有 每 一 对 密 钥 中 的 一 个 密 钥 ， 但 都 不 知道 对 方 有 哪 
一 半 。 

(6) Alice 和 Bob 用 收 到 的 密 钥 解密 他 们 能 解 的 那 一 半 消 息 。 他 们 确信 解密 消息 是 有 
效 的 。 

(7) Alice 和 Bob 都 把 所 有 2n 个 DES 密 钥 的 第 一 位 发 送 给 对 方 。 

(8) Alice 和 Bob 对 所 有 2n 个 DES 密 钥 的 第 二 位 、 第 三 位 ， 重 复 第 (7) 步 ， 如 此 继续 
下 去 ， 直 到 所 有 DES 密 钥 的 所 有 位 都 被 传送 出 去 。 

(9) Alice 和 Bob 解密 剩余 一 半 消 息 对 ， 合 约 被 签署 。 

(10) Alice 和 Bob 交换 在 第 (5) 步 的 不 经 意 传输 中 使 用 的 私人 密 钥 ， 并 验证 对 方 没有 
欺骗 。 

为 什么 Alice 和 Bob 必须 通过 所 有 步 又 呢 ? 证 我 们 假设 Alice 想 要 欺骗 ， 看 看 会 发 生 什 
么 。 在 第 (4) 步 和 第 (5) 步 中 ，Alice 可 以 通过 发 送 给 Bob 一 批 毫 无 意义 的 位 字符 串 来 破 
坏 这 个 协议 。Bob 能 在 第 (6) 步 中 发 现 这 一 点 ， 即 在 他 试图 解密 他 收 到 的 那 一 半 时 ，Bob 
就 可 以 安全 地 停止 执行 协议 ， 此 后 Alice 便 不 能 解密 Bob 的 任何 消息 对 。 

WR Alice 非常 聪明 ， 她 可 能 只 破坏 协议 的 一 半 。 她 可 以 正确 地 发 送 每 对 的 一 半 ， 但 发 
送 一 个 毫 无 意义 的 字符 串 作 为 另 一 半 。Bob 只 有 50% 的 机 会 收 到 正确 的 一 半 ， 故 Alice 在 一 
半 的 时 间 里 可 以 进行 欺骗。 但 是 ， 这 只 有 在 只 有 一 对 密 钥 的 情况 下 起 作用 。 如 果 有 两 对 密 
钥 ， 这 类 欺骗 可 在 25% 的 时 间 里 成 功 。 这 就 是 n 必须 很 大 的 原因 。Alice 必须 正确 地 猜 出 n 
次 不 经 意 传 输 协议 的 结果 ， 她 有 1/2" 的 机 会 成 功 。 如 果 n 二 10，Alice 有 1/1024 的 机 会 欺骗 
Bob 。 
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Alice 也 可 以 在 第 (8) 步 中 给 Bob 发 送 随机 位 。 也 许 Bob 直到 收 到 了 全 部 密 钥 并 试图 
解密 余下 的 一 半 消 息 时 才 知 道 Alice 送 给 他 的 是 随机 位 。 但 是 ，Bob 这 边 也 有 机 会 发 现 。 他 
已 经 收 到 了 密 钥 的 一 半 ， 并 且 Alice 不 知道 是 哪 一 半 。 如 果 n 足够 大 ，Alice 如 果 确 实 送 给 
他 一 个 无 意义 的 位 到 他 已 收 到 的 密 钥 中 ， 则 他 能 立即 发 现 Alice 在 试图 欺骗 他 。 

也 许 Alice 将 继续 执行 第 (8) 步 直 到 她 有 足够 多 的 密 钥 位 使 用 穷 举 攻击 ， 然 后 再 停止 
传送 位 。DES 有 一 个 56 位 长 的 密 钥 。 如 果 她 收 到 56 位 中 的 40 位 ， 她 只 需 尝试 2" 
(65 536) 个 密 钥 便 能 读 出 这 份 消 息 一 一 这 个 任务 对 计算 机 来 说 当然 是 轻而易举 的 。 但 是 
Bob 有 同样 多 数量 的 她 的 密 钥 位 〈 或 者 最 坏 是 少 1 位 )， 故 他 也 可 以 读 出 消息 。Alice 除了 继 
续 这 个 协议 外 别 无 选择 。 

基本 点 是 Alice 必须 公正 地 进行 这 个 协议 ， 因 为 要 欺骗 Bob 的 机 会 太 小 。 在 协议 结束 
时 ， 双 方 都 有 7 个 签名 消息 时 ， 其 中 之 一 就 足以 作为 一 个 有 效 的 签名 。 

有 一 个 Alice 可 以 进行 欺骗 的 办 法 ， 她 可 以 在 第 (5) 步 中 发 给 Bob 相同 消息 。Bob 直 
到 协议 结束 都 不 能 察 党 这 点 ， 但 是 他 可 以 使 用 协议 副本 让 法 官 相信 Alice 的 欺骗 行为 。 

这 类 协议 有 两 个 弱点 。 首 先 ， 如 果 一 方 比 另 一 方 有 强大 得 多 的 计算 能 力 ， 就 会 产生 
一 个 问题 。 例 如 ， 如 果 Alice 使 用 穷 举 攻击 的 速度 比 Bob 快 ， 那 么 她 能 在 第 (8) 步 中 较 早 
地 停止 发 送 位 ， 并 自己 推算 出 Bob 的 密 钥 。Bob 不 能 在 一 个 合理 的 时 间 内 同样 做 到 这 一 步 ， 
HEAR ASF 

其 次 ， 如 果 一 方 提前 终止 协议 ， 也 会 产生 一 个 问题 。 如 果 Alice 突然 终止 协议 ， 双 方 都 
面 对 同样 的 计算 量 , 但 Bob 没有 任何 实际 合法 的 追 索 权 。 例 如 ， 如 果 合 约 要 求 他 在 一 周 内 
做 一 些 事 ， 而 在 Alice 真正 承诺 前 的 某 一 时 刻 终止 协议 ， 使 得 Bob 将 不 得 不 花费 一 年 的 计算 
量 ， 那 么 就 有 了 一 个 问题 。 这 里 的 实际 困难 是 没有 一 个 整个 过 程 能 夏 然而 止 ， 而 且 双 方 都 受 
约束 或 者 双方 都 不 受 约束 的 近期 截止 期 限 。 

这 些 问 题 也 适用 于 5.8 节 和 5.9 节 中 的 协议 。 


5.8 数字 证 明 邮 件 


用 于 签约 的 同时 不 经 意 传输 协议 也 可 以 用 于 计算 机 证 明 邮 件 呈 5 ， 但 要 做 一 些 修改 。 假 设 
Alice 要 把 一 条 消息 发 送 给 Bob， 但 如 果 没 有 签名 的 收 条 ， 她 就 不 让 他 读 出 。 确 实 ， 在 实际 生活 
中 是 邮政 工作 者 来 处 理 这 一 过 程 ， 但 相同 的 事 在 计算 机 中 可 以 使 用 密码 学 来 做 。W hitfield Dif- 
fie 最 先 在 文献 [490」 中 讨论 了 这 个 问题 。 

乍 一 看 ， 同 时 签约 协议 能 做 此 事 。Alice 简单 地 用 一 个 DES 密 钥 加 密 她 的 消息 。 她 的 一 
半 协 议 可 以 是 像 这 样 一 些 东西 : “这 是 这 个 DES 密 钥 的 左 半 : 32F5.” Bob 的 那 一 半 可 以 是 
这 样 :“ 这 是 我 收 条 的 左 半 。” 其 他 一 切 保持 不 变 。 

要 和 弄 明 白 为 什么 这 个 协议 不 能 工作 ， 请 记 住 这 个 协议 依赖 这 样 一 个 事实 ， 即 在 
第 (5) 步 中 的 不 经 意 传输 保证 双方 是 诚实 的 。 他 们 两 人 都 知道 他 们 发 送 给 另 一 方 一 个 有 效 
的 半 密 钥 ， 但 都 不 知道 是 哪 一 半 。 他 们 在 第 〈8) 步 中 没有 进行 欺骗 ， 因 为 做 了 坏事 而 不 被 
发 觉 的 机 会 太 小 。 如 果 Alice 要 发 送 给 Bob 的 不 是 消息 ， 而 是 DES 密 钥 的 一 半 ， 那 么 在 第 
(6) 步 中 Bob 就 没有 办 法 检查 这 个 DES 密 钥 的 有 效 性 。Alice 仍然 能 检查 Bob 收 条 的 有 效 
性 ， 所 以 Bob 仍然 不 得 不 是 诚实 的 。Alice 可 以 随便 发 送 给 Bob 一 些 无 用 的 DES %4, ， 直 到 
Alice 收 到 一 个 有 效 的 收 条 时 才 知 道 其 中 的 不 同 。Bob 实在 是 命运 多 条 。 

克服 这 个 问题 需要 对 协议 进行 一 些 调整 : 
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(1) Alice 用 一 个 随机 DES 密 钥 加 密 她 的 消息 ， 并 把 它 发 送 给 Bob. 

(2) Alice 产生 n 对 DES 密 钥 。 每 对 密 钥 的 第 一 个 密 钥 是 随机 产生 的 ， 第 二 个 密 钥 是 第 
一 个 密 钥 和 消息 加 密 密 钥 的 异 或 。 

(3) Alice 用 她 的 2n 个 密 钥 的 每 一 个 加 密 一 个 假 消 息 。 

(4) Alice 把 所 有 加 密 消息 都 发 送 给 Bob ， 保 证 他 知道 哪些 消息 是 哪 一 对 的 哪 一 半 。 

(5) Bob 产生 nn 对 随机 DES 密 钥 。 

(6) Bob 产生 一 对 指明 一 个 有 效 收 条 的 消息 。 比 较 好 的 消息 可 以 是 “这 是 我 收 条 的 左 
半 ” 和 “这 是 我 收 条 的 右 半 ”， 再 附加 上 某 种 类 型 的 随机 位 串 。 他 做 了 了 个 收 条 对 ， 每 个 都 
编 上 号 。 如 同 先前 的 协议 一 样 ， 如 果 Alice 能 产生 一 个 收 条 的 两 半 〈 编 号 相同 ) 和 她 的 所 有 
加 密 密 钥 ， 这 个 收 条 就 认为 是 有 效 的 。 

(7) Bob 用 DES 密 钥 对 加 密 他 的 每 一 对 消息 ， 第 i 个 消息 用 第 i 个 密 钥 ， 左 半 消 息 用 密 
钥 对 中 的 左 密 钥 ， 右 半 消 息 用 密 钥 对 中 的 右 密 钥 。 

(8) Bob 把 他 的 消息 对 发 送 给 Alice， 保 证 Alice 知道 哪个 消息 是 哪 一 对 的 哪 一 半 。 

(9) Alice 和 Bob 利用 不 经 意 传输 协议 发 送 给 对 方 每 个 密 钥 对 。 也 就 是 说 ， 对 n 对 中 的 
每 一 对 而 言 ，Alice 或 者 送 给 Bob 用 来 加 密 左 半 消 息 的 密 钥 ,或 者 送 给 Bob 用 来 加 密 右 半 消 
息 的 密 钥 。Bob 也 同样 这 么 做 。 他 们 可 以 或 者 交替 传送 这 些 一 半 ， 或 者 一 方 发 送 nn 个， 然后 
另 一 方 再 发 送 nn 个 一 一 这 都 没有 关系 。 现 在 Alice 和 Bob 都 有 了 每 个 密 钥 对 中 的 一 个 密 钥 ， 
但 是 都 不 知道 对 方 有 哪些 一 半 。 

(10) Alice 和 Bob 都 解密 他 们 能 解 的 那些 一 半 ， 并 保证 解密 消息 是 有 效 的 。 

(11) Alice 和 Bob 送 给 对 方 所 有 2n 个 DES 密 钥 中 的 第 一 位 《如 果 他 们 担心 Eve 可 能 会 
读 到 这 个 邮件 消息 ， 那 么 他 们 应 当 相 互 传输 加 密 ) 。 

(12) Alice 和 Bob 对 所 有 2n 个 DES 密 钥 中 的 第 二 位 、 第 三 位 都 重复 第 AD 步 ， 如 此 
继续 下 去 ， 直 到 所 有 DES 密 钥 的 所 有 位 都 传送 完 。 

(13) Alice 和 Bob 解密 消息 对 中 的 余下 一 半 。Alice 有 了 一 张 来 自 Bob 的 有 效 收 条 ， 而 
Bob 能 异 或 任 一 密 钥 对 以 得 到 原始 消息 加 密 密 钥 。 

(14) Alice 和 Bob 交换 在 不 经 意 传输 协议 期 间 使 用 私人 密 钥 ， 同 时 每 一 方 验证 另 一 方 
没有 进行 欺骗 。 

Bob 的 第 (5) ~ (8) 步 以 及 Alice 和 Bob 的 第 (9) ~ (12) 步 都 与 签约 协议 相同 。 
意 想不到 的 手法 是 Alice 的 所 有 假 消息 。 它 们 给 予 Bob 一 些 办 法 来 检查 第 〈10) 步 中 Alice 
不 经 意 传输 的 有 效 性 ， 这 可 以 迫使 Alice 在 第 AD ~ (13) 步 期 间 保持 诚实 。 并 且 如 同 同 
时 签约 协议 一 样 ， 完 成 协议 要 求 Alice 的 一 个 消息 对 的 左右 两 半 。 


5.9 秘密 的 同时 交换 

Alice 知道 秘密 A, Bob 知道 秘密 B。 如 果 Bob 告诉 Alice B, Alice 愿意 告诉 Bob A; 如 
果 Alice 告 诉 他 A, Bob 愿意 告诉 Alice B。 这 个 协议 可 以 在 校园 里 遵守 一 一 但 很 明显 ， 它 不 
起 作用 : 

(1) Alice:“ 如 果 你 先 告 诉 我 ， 我 就 告诉 你 。” 

(2) Bob:“ 如 果 你 先 告诉 我 ， 我 就 告诉 你 。 

(3) Alice: “R, REW.” 

(4) Bob: “M, WIE.” (Bob 悄悄 说 了 。) 
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(5) Alice:“ 哈 ! 我 不 告诉 你 。” 

(6) Bob: “SERAF.” 

密码 技术 可 以 使 它 变 得 公平 。 前 面 的 两 个 协议 是 这 个 更 为 常用 协议 的 实现 ， 这 个 协议 允 
许 Alice 和 Bob 可 以 同时 交换 秘密 5 。 与 其 重复 整个 协议 ， 不 如 简单 介绍 对 数字 证 明 邮 件 
协议 的 修改 情况 。 

Alice 使 用 A 作为 消息 完成 第 d) ~ (4) 步 。Bob 用 B 作为 他 的 消息 完成 类 似 的 步 
IR. Alice 和 Bob 在 第 (9) 步 中 执行 不 经 意 传 输 ， 在 第 (10) 步 中 解密 他 们 能 解密 的 那些 
一 半 消 息 ， 并 在 第 AD 步 和 第 (12)〉 步 中 处 理 完 那 些 迭 代 。 如 果 他 们 要 防范 Eve, 他们 应 
当 加 密 他 们 的 消息 。 最 后 ，Alice 和 Bob 解密 消息 对 余下 的 一 半 ， 并 异 或 任 一 密 钥 对 来 得 到 
原始 消息 加 密 密 钥 。 

这 个 协议 使 Alice 和 Bob 可 以 同时 交换 秘密 ， 但 没有 谈 到 所 交换 秘密 的 质量 。Alice 可 
以 允诺 Bob Minotaur 迷宫 的 解法 ， 但 实际 上 送 给 他 一 张波 士 顿 地 铁 系 统 交 通 图 。Bob 将 得 
到 Alice 送 给 他 的 任何 秘密 ， 无 论 这 个 秘密 是 什么 。 其 他 协议 见 文献 L1286、195、991、 
1524, 705, 753, 259, 358, 415], 
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6.1 保密 选举 

除非 有 一 个 协议 既 能 防止 欺骗 又 能 保护 个 人 隐私 ， 否 则 计算 机 化 的 投票 永远 不 会 在 一 般 
选举 中 使 用 。 理 想 的 协议 至 少 要 有 这 样 六 项 要 求 : 

(1) 只 有 经 授权 的 投票 者 才能 投票 。 

(2) 每 个 人 投票 不 得 超过 一 次 。 

(3) 任何 人 都 不 能 确定 别人 投 谁 的 票 。 

(4) 没有 人 能 复制 其 他 人 的 选票 。( 这 一 点 证 明 是 最 困难 的 要 求 。) 

(5) 没有 人 能 修改 其 他 人 的 选票 而 不 被 发 现 。 

(6) 每 个 投票 者 都 可 以 保证 他 的 选票 在 最 后 的 表 中 被 计算 在 内 。 

此 外 ， 有 些 投票 方案 可 能 有 如 下 要 求 : 

(7) 每 个 人 都 知道 谁 投票 了 及 谁 没 有 投票 。 

在 讨论 具有 这 些 特性 的 复杂 投票 协议 前 ， 我 们 先 看 几 个 比较 简单 的 协议 。 


> w w 


6. 


.1 简单 投票 协议 1 


(1) 每 个 投票 者 利用 中 央 制 表 机 构 (Central Tabulating Facility, CTF) 的 公开 密 钥 加 
密 他 们 的 选票 。 

(2) 每 个 投票 者 把 他 们 的 选票 送 给 CTF。 

(3) CTF 将 选票 解密 ， 制 表 ， 公 布 结果 。 

这 个 协议 问题 很 多 。CTF 不 知道 选票 从 何 而 来 ， 所 以 它 甚 至 不 知道 选票 是 否 来 自 合格 
的 投票 者 。 他 们 也 不 知道 这 些 合格 的 投票 者 是 否 投了 一 次 以 上 的 票 。 虽 然 没 有 人 能 改变 其 他 
人 的 选票 ， 但 是 当 你 可 以 相当 容易 地 将 你 的 选择 结果 投 无 数 次 时 ， 也 就 没有 人 试图 去 修改 其 
他 人 的 选票 。 


6.1.2 简单 投票 协议 2 

(1) 每 个 投票 者 用 他 的 私人 密 钥 在 选票 上 签名 。 

(2) 每 个 投票 者 用 CTF 的 公开 密 钥 加 密 他 们 签名 的 选票 。 

(3) 每 个 投票 者 把 他 的 选票 送 给 CTF。 

(4) CTF 解密 这 些 选 票 ， 检 查 签 名 ， 将 选票 制 表 并 公布 结果 。 

这 个 协议 满足 了 要 求 1 和 要 求 2， 只 有 被 授权 的 投票 者 才能 投票 ， 并 且 任 何人 都 不 能 投 一 
次 以 上 的 票 。CTF 在 第 (3) 步 中 记录 收 到 的 选票 。 每 张 选票 都 用 投票 者 的 私人 密 钥 签名 ， 故 
CTF 知道 谁 投 票 了 ， 谁 没有 投票 ， 以 及 每 个 投票 者 投了 多 少 次 。 如 果 出 现 没有 由 合格 投票 者 答 
名 的 选票 ， 或 者 出 现 另 一 张 由 一 个 已 投 过 票 的 投票 者 签名 的 选票 ， 那 么 机 构 可 以 不 计 这 张 选 
票 。 因 为 有 数字 签名 ， 所 以 没 人 能 改变 其 他 任何 人 的 选票 ， 即 使 他 们 在 第 〈3) 步 截获 了 它 。 

这 个 协议 的 问题 在 于 签名 附 在 选票 上 ,， 故 CTF 知道 谁 投 了 谁 的 票 。 用 CTF 的 公开 密 钥 
加 密 选 票 阻 止 任 何人 在 协议 进行 中 窃听 ， 并 了 解 谁 投了 谁 的 票 ， 但 是 你 得 完全 信任 CTF. 
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它 类 似 于 有 一 个 选举 监督 员 在 背后 盯 着 你 把 票 投入 票 箱 。 
这 两 个 例子 说 明 要 满足 安全 投票 协议 的 前 三 个 要 求 是 多 么 困难 ， 更 别 说 其 他 的 要 求 了 。 


6.1.3 使 用 盲 签名 投票 


我 们 需要 以 某 种 办 法 切断 投票 者 与 选票 的 关系 ， 同 时 仍 能 保持 鉴别 。 盲 签名 协议 正好 可 
以 做 到 这 一 点 。 

(1) 每 个 投票 者 产生 10 个 消息 集 ， 其 中 对 每 一 种 可 能 结果 都 有 一 张 有 效 选票 例如， 如 
果 是 一 个 Yes 或 No 的 选票 ， 则 每 个 集合 中 包含 两 张 选票 ,一 张 “Yes” 上 且 男 一 张 “No”)。 $ 
条 消息 也 包含 一 个 随机 产生 的 识别 号 ， 这 个 数 要 大 到 足以 避免 和 其 他 投票 者 重复 。 

(2) 每 个 投票 者 分 别 隐藏 所 有 的 消息 〈 参 见 5.3 节 ) 并 把 它们 同 盲 因子 一 起 发 送 
2 CTF, 

(3) CTF 检查 它 的 数据 库 以 保证 投票 者 先前 不 曾 以 他 们 的 签名 提交 过 隐蔽 好 的 选票 。 
CTF 打开 9 个 集合 以 检查 它们 是 否 正 确 形成 ， 然 后 分 别 对 这 个 集合 中 的 每 一 条 消息 签名 ， 
接着 把 它们 送 回 给 投票 者 ， 并 把 投票 者 的 名 字 存 在 CTF 的 数据 库 中 。 

(4) 投票 者 除去 这 些 消 息 的 隐藏 ， 留 下 由 CTF 签名 的 一 组 选票 (这 些 选票 签 了 名 ， 但 
未 加 密 ， 故 投票 者 能 轻易 地 知道 哪 张 选票 是 “Yes”、 哪 张 是 “No”) 。 

(5) 投票 者 选择 其 中 一 张 选票 〈 哈 ， 很 民主 )， 并 用 CTF 的 公开 密 钥 对 它 加密 。 

(6) 投票 者 投 出 他 们 的 选票 。 

(7) CTF 将 选票 解密 ， 检 查 签名 ， 检 查 数 据 库 中 是 和 否 有 重复 的 识别 号 ， 保 存 这 个 序号 
并 将 选票 制 表 ， 公 布 选举 结果 以 及 每 个 序号 和 其 相关 的 选票 。 

一 个 恶意 的 投票 者 ， 我 们 不 妨 称 为 Mallory， 他 不 可 能 欺骗 这 个 系统 。 讶 签名 协议 确保 
他 的 选票 是 独一无二 的 。 如 果 他 试图 在 同一 次 选举 中 投 两 次 票 ， 则 CTF 将 在 第 (7) 步 中 发 
现 重 复 的 序号 并 把 第 二 张 选 票 扔 掉 。 如 果 他 试图 在 第 (2) 步 中 得 到 多 张 签名 的 选票 ， 则 
CTF 将 在 第 (3) 步 中 发 现 这 一 点 。 因 为 Mallory 不 知道 这 个 机 构 的 私人 密 钥 ， 所 以 他 不 能 
产生 他 自己 的 选票 。 同 样 他 也 不 能 截取 和 改变 其 他 人 的 选票 。 

第 (3) 步 的 分 割 选择 协议 是 为 了 保证 选票 的 唯一 性 。 没 有 这 一 步 ，Mallory 可 以 制造 
大 量 相同 的 选票 除了 识别 号 不 同 外 )， 并 且 使 这 些 选票 全 都 有 效 。 

一 个 恶意 的 CTF 不 可 能 了 解 个 人 如 何 投 票 。 因 为 讶 签名 协议 防止 了 这 个 机 构 在 人 们 投 

前 看 到 选票 上 的 序号 ， 所 以 CTF 无 法 把 它 签 名 的 隐蔽 好 的 选票 与 最 终 投 出 的 选票 联系 起 
xk. 公布 序号 清单 和 它们 的 相关 选票 使 得 投票 者 能 肯定 他 们 的 选票 被 正确 地 统计 制 表 。 

这 里 仍然 有 问题 。 如 果 第 (6) 步 不 是 匿名 的 ，CTF 通过 记录 谁 投 了 哪 张 选票 ， 就 能 知 
道 谁 投 谁 的 票 。 但 是 ， 如 果 收 到 的 选票 在 一 个 锁 着 的 选票 箱 里 ， 并 且 随 后 把 它们 制 表 ， 则 
CTF 就 不 能 记录 。 还 有 ， 虽 然 CTF 不 能 把 选票 同 个 人 联系 起 来 ， 但 能 产生 大 量 签名 的 有 效 
选票 ， 供 自己 进行 欺骗 。 而 且 如 果 Alice 发 现 CTF 修改 了 她 的 选票 ， 她 没有 办 法 证 明 。 
[1195, 1370] 中 有 一 个 类 似 的 协议 试图 弥补 这 些 问 题 。 


6.1.4 带 有 两 个 中 央 机 构 的 投票 

一 种 解决 办 法 是 将 CTF 一 分 为 二 。 没 有 哪 一 方 自己 有 能 力 进行 欺骗 。 

下 面 这 个 协议 使 用 一 个 中 央 合 法 机 构 (Central Legitimization Agency, CLA) 来 证 明 
投票 者 ， 一 个 单独 的 CTF RUB, 

(1) 每 个 投票 者 发 送 一 条 消息 给 CLA 要 求 得 到 一 个 有 效 数字 。 
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(2) CLA 送 回 给 投票 者 一 个 随机 的 有 效 数字 。CLA 保持 一 张 有 效 数 字 列 表 ， 也 保留 一 
张 有 效 数字 接收 者 的 名 单 ， 以 防止 有 人 试图 再 次 投票 。 

(3) CLA 把 有 效 数 字 列 表 送 给 CTF, 

(4) 每 个 投票 者 选择 一 个 随机 识别 号 。 他 们 用 该 识别 号 、 从 CLA 收 到 的 有 效 数字 和 他 
们 的 选票 一 起 产生 一 条 消息 ， 把 这 条 消息 送 给 CTF. 

(5) CTF 对 照 它 在 第 (3) 步 中 从 CLA 收 到 的 列表 来 检验 有 效 数 字 。 如 果 数 字 存 在 ， 
CTF 就 把 它 划 掉 (防止 任何 人 投票 两 次 )。CTEF 把 识别 号 加 入 到 投了 某 位 候选 者 的 人 员 名 单 
上 ， 并 在 记 数 中 加 1。 

(6) 在 收 到 所 有 的 选票 后 ，CTF 公布 结果 、 识 别 号 以 及 这 些 识 别 号 所 有 者 投了 谁 
的 票 。 
就 像 前 面 的 协议 一 样 ， 每 个 投票 者 能 够 看 到 识别 号 的 列表 ， 并 在 其 中 找到 他 自己 的 识别 
号 ， 这 就 证 明 他 的 选票 被 计数 了 。 当 然 ， 协 议 中 各 方 之 间 传 递 的 所 有 消息 应 当 加 密 并 签名 ， 
以 防止 一 些 人 假冒 另 一 些 人 或 截取 传送 。 

因为 每 个 投票 者 都 要 寻找 他 们 的 识别 字符 串 ， 所 以 CTF 不 能 修改 选票 。 如 果 投 票 者 找 
不 到 他 的 识别 号 ， 或 者 发 现 他 的 识别 号 在 不 是 他 们 所 投票 的 记录 中 ， 他 会 立即 知道 这 中 间 有 
HIT A. WA CTF 受 CLA 监督 ， 所 以 它 不 能 把 假 选票 塞 进 投票 箱 。CLA 知道 有 和 多少 个 
投票 者 已 被 验证 以 及 他 们 的 鉴别 数字 ， 并 会 检测 到 任何 窜改 。 

Mallory 不 是 一 个 合格 的 投票 者 ， 他 可 以 试图 通过 猜测 有 效 数 字 来 进行 欺骗。 但 通过 使 
可 能 的 有 效 数 字 比 实际 有 效 数字 大 得 多 的 方法 可 使 这 种 威胁 降 到 最 低 。 例 如 ，100 万 个 投票 
者 的 100 位 数字 。 当 然 ， 有 效 数 字 必 须 是 随机 产生 的 。 

尽管 这 样 ，CLA 在 某 些 方面 仍 是 一 个 可 信任 的 机 构 。CLA 能 验证 出 不 合格 的 投票 者 ， 
能 对 合格 投票 者 多 次 验证 。 通 过 让 CLA 公布 被 验证 的 投票 者 (但 不 是 他 们 的 鉴别 数字 ) 的 
清单 可 使 这 种 风险 最 小 化 。 如 果 这 个 清单 上 投票 者 的 数目 小 于 已 制 表 的 选票 的 数目 ， 那 么 其 
中 肯定 有 诈 。 如 果 被 验证 的 投票 者 比 已 制 表 的 选票 多 ， 可 能 意味 着 一 些 被 验证 的 人 未 投票 。 
很 多 人 注册 投票 ， 但 却 没 有 将 选票 投 进 票 箱 。 

这 个 协议 也 易 受 到 CLA 和 CTF 的 合谋 攻击 。 如 果 它 们 两 个 串通 一 气 ， 就 可 以 将 数据 库 
联系 起 来 并 知道 谁 投了 谁 的 票 。 


6.1.5 带 有 单个 中 央 机 构 的 投票 


使 用 一 个 更 复杂 的 协议 能 克服 CLA 和 CTF 合谋 的 危险 5253 。 这 个 协议 和 带 有 两 个 中 央 
机 构 的 投票 协议 基本 相同 ,但 做 了 两 处 修改 : 

。 CLA 和 CTF 是 一 个 组 织 ， 并 且 

。 ANDOS (参见 4. 13 节 ) 用 来 在 第 (2) 步 中 匿名 分 配 有 效 数字 。 

因为 匿名 的 密 钥 分 配 协议 防止 CTF 知道 哪个 投票 者 得 到 了 哪个 有 效 数字 ， 所 以 CTF 没 
有 办 法 把 收 到 的 选票 和 有 效 数字 联系 起 来 ， 虽然 仍 必须 相信 CTF 不 会 把 有 效 数字 给 不 合格 
的 投票 者 。 即 使 如 此 你 也 可 以 使 用 讶 签名 来 解决 这 个 问题 。 


6. 1.6 改进 的 带 有 单个 中 央 机 构 的 投票 


这 个 协议 也 使 用 ANDOS 。 它 满足 一 个 好 的 投票 协议 的 所 有 六 个 要 求 ， 但 不 满足 第 
七 个 要 求 。 不 过 它 还 具有 另外 两 个 性 质 : 
(7) 投票 者 可 以 在 一 个 给 定 的 时 间 内 改变 主意 〈 即 收回 他 们 的 选票 并 重新 投票 ) 。 
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(8) 如 果 投 票 者 发 现 他 们 的 选票 被 误 计 ， 他 们 能 够 鉴别 并 纠正 这 个 问题 ， 同 时 不 会 危害 
到 他 投票 的 秘密 。 

下 面 是 这 个 协议 : 

(1) CTF 公布 所 有 合法 投票 者 的 名 单 。 

(2) 在 一 个 指定 的 截止 日 期 内 ， 每 个 投票 者 都 把 他 的 投票 意图 告诉 CTF。 

(3) CTF 公布 参加 选举 的 投票 者 。 

(4) 每 个 投票 者 都 使 用 ANDOS 协议 ， 收 到 一 个 鉴别 数字 T。 

(5) 每 个 投票 者 产生 一 个 公开 密 钥 / 私 人 密 钥 对 : & 和 4。 如果 wv 是 选票 ， 他 们 产生 出 下 
列 消 息 并 将 它 送 给 CTF: I，E,(I，v)。 该 消息 必须 匿名 发 送 。 

(6) CTF 通过 公布 Ed, v) 确认 收 到 选票 。 

(7) 每 个 投票 者 送 给 CTF 以 下 消息 : I，d。 

(8) CTF 解密 选票 。 在 选举 结束 时 ， 它 公布 选举 结果 ， 并 且 对 每 张 不 同 选票 公布 包含 
那 张 选票 的 所 有 Ed, v) 值 的 列表 。 

(9) 如 果 投 票 者 发 现 他 们 的 选票 没有 被 正确 计数 ， 他 们 通过 给 CTF 发 送 以 下 消息 来 表示 抗 
Ws Js Eps whe dy 

(10) 如 果 投 票 者 想 把 他 的 选票 从 v BOW! (这 在 某 些 选举 中 是 可 能 的 ) ， 他 们 发 送 给 
CTF 以 下 消息 ， L Eells os d: 

有 一 种 不 同 的 投票 协议 用 盲 签名 代替 ANDOS, 但 其 本 质 是 相同 的 。 第 (1) 一 (3) 
步 是 实际 投票 的 开始 ， 目 的 是 弄 清 楚 并 公布 实际 投票 者 的 总 数 。 虽 然 一 些 人 可 能 不 参加 ， 但 
这 减少 了 CTF 增加 假冒 选票 的 可 能 性 。 

在 第 (4) 步 中 ， 两 个 投票 者 可 能 得 到 相同 的 鉴别 数字 。 通 过 让 可 能 的 鉴别 数字 远 远 超 
过 实际 的 投票 者 的 数目 能 使 这 种 可 能 性 最 小 化 。 如 果 两 个 投票 者 提交 了 带 相 同 鉴别 标记 的 选 
票 ，CTF 就 产生 一 个 新 鉴别 数字 了， 选择 两 张 选 票 中 的 一 张 并 公布 : I, EC, ve 

这 张 选 票 的 所 有 者 将 认 出 它 来 ， 并 通过 重复 第 (5) 步 ， 交 上 第 二 张 带 新 鉴别 数字 的 
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选票 。 
第 〈6) 步 让 所 有 投票 者 能 够 检查 CTF 确实 收 到 了 他 们 的 选票 。 如 果 他 们 的 选票 被 误 计 
了 ， 则 他 们 可 以 在 第 〈9) 步 中 验证 这 一 情况 。 假 设 在 第 〈6) 步 中 投票 者 的 选票 是 对 的 ， 则 
在 第 O 步 中 他 们 发 送 的 消息 构成 了 他 们 选票 被 误 计 的 证 据 。 

这 个 协议 的 一 个 问题 是 一 个 腐败 的 CTF 可 给 在 第 〈2) 步 中 响应 的 人 分 发 选票 ， 但 不 能 
给 实际 不 投票 的 人 分 发 选票 。 另 一 个 问题 是 ANDOS 协议 的 复杂 性 。 设 计 者 建议 把 一 大 群 投 
票 人 分 成 几 个 小 群 ， 如 同一 个 个 选区 。 

另 一 个 更 为 严重 的 问题 是 CTF 可 能 漏 计 选票 。 这 个 问题 无 法 解决 : Alice 宣称 CTF 故 
意 漏 计 她 的 选票 ， 但 是 CTF 宣称 投票 人 没有 投票 。 


6.1.7 无 需 中 央 制 表 机 构 的 投票 

这 个 协议 完全 省 却 了 使 用 CTF， 投 票 者 互相 监督 。 它 是 由 Michael Merrit 设计 
的 5 2078-458) 。 它 难以 操作 以 至 于 只 有 在 少数 几 个 人 中 才能 实际 实现 ， 然 而 我 们 可 以 从 中 学 
到 一 些 东西 。 

Alice, Bob, Carol 和 Dave 正在 对 一 个 特殊 问题 进行 Yes 或 No ORD 的 投票 。 假 设 
每 个 投票 者 都 有 一 个 公开 密 钥 和 一 个 私人 密 钥 。 还 假设 每 个 人 都 知道 其 他 人 的 公开 密 钥 。 

(1) 每 个 投票 者 选择 一 张 选票 并 做 以 下 事情 : 
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(a) 在 他 们 的 选票 上 附 上 一 个 随机 字符 串 。 

(b) 用 Dave 的 公开 密 钥 加 密 Ca) 的 结果 。 

(c) 用 Carol 的 公开 密 钥 加 密 b) 的 结果 。 

(d) 用 Bob 的 公开 密 钥 加 密 Cc) 的 结果 。 

Ce) 用 Alice 的 公开 密 钥 加 密 Cd) 的 结果 。 

Cf) E Ce) 的 结果 中 附 上 一 个 新 的 随机 字符 串 ， 并 用 Dave 的 公开 密 钥 对 它 加 密 。 
记 下 这 个 随机 字符 串 的 值 。 

(g) 在 CD 的 结果 中 附 上 一 个 新 的 随机 字符 串 ， 并 用 Carol 的 公开 密 钥 对 它 加 密 。 
记 下 这 个 随机 字符 串 的 值 。 

Ch) 在 〈g) 的 结果 中 附 上 一 个 新 的 随机 字符 串 ， 并 用 Bob 的 公开 密 钥 对 它 加 密 。 
记 下 这 个 随机 字符 串 的 值 。 

O 在 (h) 的 结果 中 附 上 一 个 新 的 随机 字符 串 ， 并 用 Alice 的 公开 密 钥 对 它 加 密 。 
记 下 这 个 随机 字符 串 的 值 。 
如 果 是 加 密 函 数 ，R 是 一 个 随机 字符 串 ， 且 VV 是 选票 ， 则 选票 看 起 来 像 

Ea (Ry Eg (Ris Ec (Ri rEp(R,s Ex(Es(Ec(Ep(V RD DY 

所 有 的 投票 者 记 下 计算 中 每 一 点 的 中 间 结 果 ， 后 面 将 会 用 这 些 结果 来 确定 他 们 
的 选票 是 否 被 计数 。 

每 个 投票 者 把 他 的 选票 送 给 Alice。 

Alice 用 她 的 私人 密 钥 对 所 有 的 选票 解密 ， 接 着 将 那 一 级 中 所 有 随机 字符 串 删 去 。 

Alice 置 乱 所 有 选票 的 秩序 并 把 结果 送 给 Bob。 现 在 每 张 选票 看 起 来 像 这 样 : 

Es (Rj ,Ec(R; ,EDCR ‚Ea (Eg (Ec (Ep(V,R,))))))) 

(5) Bob 用 他 的 私人 密 钥 对 所 有 的 选票 解密 ， 查 看 他 的 选票 是 否 在 选票 集中 ， 删 去 那 一 
级 中 所 有 随机 字符 串 ， 置 乱 所 有 的 选票 然后 把 结果 送 给 Carol。 现 在 每 张 选票 看 起 来 像 这 样 
Ec (R; ,EpCR: ‚Ea (Ep (Ec (Ep (V, ROI) 

(6) Carol 用 她 的 私人 密 钥 对 所 有 的 选票 解密 ， 查 看 她 的 选票 是 否 在 选票 集中 ， 删 去 那 
一 级 所 有 的 随机 字符 串 ， 置 乱 所 有 的 选票 ， 然 后 把 结果 送 给 Dave。 现 在 每 张 选 票 看 起 来 像 
这 样 : 


(2 
(3 
(4 


vr YY 


Ep R; Eal Ea (Ec (Ep (VR, ))))) 

(7) Dave 用 他 的 私人 密 钥 对 所 有 的 选票 解密 ， 查 看 他 的 选票 是 否 在 选票 集中 ， 删 去 那 
一 级 中 所 有 随机 字符 串 ， 置 乱 所 有 的 选票 ， 并 把 结果 送 给 Alice。 现 在 每 张 选 票 看 起 来 像 
这 样 : 

E, (Eg (Ec (Ep (VR) ))) 

(8) Alice 用 她 的 私人 密 钥 对 所 有 选票 解密 ， 查 看 她 的 选票 是 否 在 选票 集中 ， 签 名 所 有 

选票 ， 并 把 结果 送 给 Bob, Carol 和 Dave。 现 在 每 张 选票 看 起 来 像 这 样 : 
Sa (Eg (Ec (En (V,Ri)))) 

(9) Bob 验证 并 删 去 Alice 的 签名 。 他 用 他 的 私人 密 钥 对 所 有 的 选票 解密 ， 查 看 他 的 选 
票 是 否 在 选票 集中 ， 对 所 有 的 选票 签名 ， 然 后 把 结果 送 给 Alice, Bob 和 Dave。 现 在 每 张 选 
票 看 起 来 像 这 样 : 

Sg (Ec (Eb (V, Rı))) 

(10) Carol 验证 并 删 去 Bob 的 签名 。 她 用 她 的 私人 密 钥 对 所 有 选票 解密 ， 查 看 她 的 选 

票 是 否 在 选票 集中 ， 对 所 有 的 选票 签名 ， 然 后 把 结果 送 给 Alice, Bob 和 Dave。 现 在 每 张 选 
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票 看 起 来 像 这 样 ; 
Sel(Ep(V,R1)) 

(11) Dave 验证 并 删 去 Carol 的 签名 。 他 用 他 的 私人 密 钥 对 所 有 选票 解密 ， 查 看 他 的 选 
票 是 否 在 选票 集中 ， 对 所 有 的 选票 签名 ， 然 后 把 结果 送 给 Alice. Bob 和 Carol。 现 在 每 张 选 
票 看 起 来 像 这 样 : 

Sp(V,Ri) 

(12) 所 有 人 验证 并 删 去 Dave 的 签名 。 通 过 检验 以 确信 他 们 的 选票 在 选票 集中 (通过 
在 选票 中 寻找 他 们 的 随机 字符 串 ) 。 

(13) 每 个 人 都 从 自己 的 选票 中 删 去 随机 字符 串 并 记录 每 张 选票 。 

这 个 协议 不 仅 起 作用 ， 而 且 还 能 自我 判决 。 如 果 有 人 试图 进行 欺骗 ，Alice、Bob、Carol 和 
Dave 将 立即 知道 。 这 里 不 需要 CTF 和 CLA. 为 了 弄 清 楚 这 是 怎样 起 作用 的 ， 我们 来 试 演 
行 骗 。 

如 果 有 人 想 把 假 票 塞 进 票 箱 ，Alice 在 第 (3) 步 当 她 收 到 比 人 数 多 的 选票 时 就 会 发 现 这 
一 企图 。 如 果 Alice 试图 把 假 票 塞 进 票 箱 ，Bob 将 在 第 (4) 步 中 发 现 。 

一 种 更 狭 独 的 欺骗 方法 是 用 一 张 选 票 蔡 换 另 一 张 。 因 为 选票 是 用 各 种 不 同 的 公开 密 钥 加 
密 的 ， 任 何人 都 能 按 其 需要 创造 很 多 有 效 的 选票 。 这 里 解密 协议 有 两 轮 : 第 一 轮 包 括 
第 (3) ~ (7) 步 ， 第 二 轮 包 括 第 (8) ~ (11) 步 。 替 换 选 票 会 在 不 同 轮 次 被 分 别 发 现 。 

如 果 有 人 在 第 二 轮 中 用 一 张 选 票 替换 另 一 张 ， 他 的 行为 会 立即 被 发 现 。 在 每 一 步 上 选票 
被 签名 并 送 给 所 有 投票 者 。 如 果 一 个 (或 更 多 ) 投票 者 注意 到 他 的 选票 不 再 在 选票 集中 ， 他 
就 立即 中 止 协议 。 因 为 选票 在 每 一 步 都 被 签名 ， 并 且 因 为 每 个 人 都 能 反 向 进行 协议 的 第 二 
轮 ， 所 以 很 容易 发 现 谁 荐 换 了 选票 。 

在 协议 的 第 一 轮 用 一 张 选票 替换 另 一 张 显 得 更 为 高 明 。Alice 不 能 在 第 G) 步 中 这 样 
做 ， 因 为 Bob Carol 或 Dave 会 在 第 (5) ~ (7) 步 中 发 现 。Bob 可 以 在 第 (5) 步 中 这 样 
做 。 如 果 他 替换 了 Carol 或 Dave 的 选票 〈 记 住 ， 他 不 知道 哪 张 选票 对 应 哪个 投票 者 )， 
Carol 或 Dace 将 在 第 (6) ~ (7) 步 中 发 现 ， 他 们 不 知道 是 谁 帘 改 了 他 们 的 选票 (虽然 这 一 
定 是 某 个 已 经 处 理 过 选票 的 人 )， 但 他 们 知道 自己 的 选票 被 帘 改 了 。 如 果 Bob 幸运 地 挑选 了 
Alice 的 选票 来 替换 ， 她 要 到 第 二 轮 才 会 发 现 。 接 着 ，Alice 在 第 (8) 步 中 会 发 现 她 的 选票 
遗失 了 ， 但 她 仍然 不 知道 谁 窜改 了 她 的 选票 。 在 第 一 轮 中 ， 选 票 在 从 一 步 到 另 一 步 时 被 搅乱 
并 且 未 被 签名 ， 任 何人 都 不 可 能 反 向 跟踪 协议 以 确定 谁 审改 了 选票 。 

另 一 种 形式 的 骗术 是 试图 弄 清楚 谁 投了 谁 的 票 。 因 为 置 乱 是 在 第 一 轮 ， 所 以 任何 人 都 不 
可 能 反 向 跟踪 协议 ， 并 把 投票 者 与 选票 联系 起 来 。 在 第 二 轮 中 删 去 随机 字符 串 对 保护 匿名 性 
来 说 关系 重大 。 如 果 它 们 未 被 删除 ， 通 过 用 置 乱 者 的 公开 密 钥 对 出 现 的 选票 重新 加 密 就 能 将 
选票 的 置 乱 还 原 。 由 于 协议 的 固有 性 质 ， 选 票 的 机 密 性 是 有 保障 的 。 

更 有 其 者 ， 因 为 有 初始 随机 字符 串 Rl， 所 以 即使 一 样 的 选票 在 协议 的 每 一 步 也 都 被 加 
密 成 不 同 的 选票 。 直 到 第 (11) 步 人 们 才能 知道 选票 的 结果 。 

这 个 协议 的 问题 是 什么 呢 ? 首先 ， 这 个 协议 计算 量 特别 大 。 前 面 所 述 的 例子 仅 有 四 个 投 
票 者 就 已 经 很 复杂 了 。 这 个 协议 在 实际 的 选举 中 无 法 奏效 ， 因 为 有 成 千 上 万 的 投票 者 。 其 
K, Dave 先 于 其 他 人 知道 选举 结果 。 虽 然 他 还 不 能 影响 选举 结果 ， 但 这 给 了 他 一 些 别 人 没 
有 的 权力 。 另 一 方面 ， 带 有 中 央 机 构 的 投票 方案 也 是 合乎 实际 情况 的 。 

第 三 个 问题 是 Alice 能 复制 其 他 人 的 选票 ， 即 使 事先 她 并 不 知道 它 是 什么 。 为 了 和 弄 清 这 
个 问题 的 原因 ， 设 想 一 个 Alice, Bob 和 Eve 的 三 人 选举 。Eve 并 不 关心 选举 结果 ,但 是 她 
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想 知道 Alice 是 怎样 投票 的 。 因 此 她 可 以 复制 Alice 的 选票 ， 保 证 选举 的 结果 等 于 Alice 


6.1.8 其 他 投票 方案 

人 们 已 经 提出 许多 复杂 的 安全 选举 协议 。 它 们 来 自 两 个 不 同 风 格 的 基本 协议 。 有 一 些 混 
合 协议 ， 像 “无 需 中 央 制 表 机 构 的 协议 ”， 这 里 每 人 的 选票 都 被 混合 以 便 没有 人 能 把 选票 与 

也 有 选票 被 分 开 的 协议 ， 单 独 的 选票 在 不 同 的 制 表 机 构 被 分 散 开 ， 单 独 的 一 个 机 构 不 能 
欺骗 投票 者 …” ” 。 这 个 协议 仅 在 政府 (或 管理 投票 的 机 构 ) 的 “不 同 ” 部 门 不 串通 起 
来 对 付 投票 者 的 情况 下 才能 保护 投票 者 的 隐私 。( 将 一 个 中 央 机 关 分 成 不 同 部 门 ， 仅 在 它们 
都 聚 在 一 起 时 才 可 信任 的 想法 来 自 文献 [316]) 。 

文献 [1371] 中 有 一 个 选票 被 分 开 的 协议 。 它 的 基本 思想 是 每 一 个 投票 者 把 他 的 选票 分 
成 多 份 。 例 如 ， 如 果 选 票 是 yes 或 no， 则 可 以 用 1 代表 yes 而 0 代表 no。 然 后 投票 者 产生 多 
个 数字 ， 它 们 的 和 为 1 或 0。 将 选票 送 给 制 表 机 构 ， 一 个 部 分 一 份 ， 并 且 每 一 份 都 被 加 密 邮 
寄 。 机 构 的 每 个 部 分 标记 它 收 到 的 那 一 份 (有 一 个 验证 标记 是 否 正确 的 协议 )， 最 终 的 投票 
结果 是 所 有 的 标记 之 和 。 还 有 一 个 协议 保证 每 个 投票 者 的 部 分 数值 和 为 1 或 0。 

David Chaum 提出 男 一 个 协议 ， 它 确保 跟踪 任何 企图 破坏 选举 的 投票 人 。 但 是 ， 那 
样 做 必须 在 不 得 干扰 投票 者 的 情况 下 重复 选举 过 程 ， 这 种 方法 对 于 大 规模 选举 是 不 实用 的 。 

男 一 个 更 复杂 的 投票 协议 解决 了 这 方面 的 一 些 问 题 "”””" 。 甚 至 有 一 个 投票 协议 使 用 了 
多 密 钥 密码 “” 。 还 有 一 个 投票 协议 ， 宣 称 对 大 规模 选举 是 实用 的 ， 见 文献 [585]。 文 献 
[347] 允许 投票 者 弃权 。 

投票 协议 有 效 ， 但 它们 使 严 卖 选 蒜 变 得 更 加 容易 ， 因 为 买方 相信 出 售 的 选票 是 合法 的 。 
有 些 协议 设计 成 不 要 收 条 (receipt-free), 这 使 得 投票 者 不 可 能 以 某 种 方式 向 其 他 人 证 明 他 


的 投票 上 7 11701872) ` 


6.2 保密 的 多 方 计算 

保密 的 多 方 计算 是 一 种 协议 ， 在 这 种 协议 中 ， 一群 人 可 在 一 起 用 一 种 特殊 的 方法 计算 许 
多 变量 的 任何 函数 。 其 中 每 个 人 都 知道 这 个 函数 的 值 ， 但 除了 函数 的 输出 外 ， 没 有 人 知道 关 
于 任何 其 他 成 员 输 入 的 任何 事情 。 以 下 是 该 协议 的 几 个 例子 。 


6.2.1 协议 1 


一 群 人 怎样 才能 计算 出 他 们 的 平均 薪水 而 又 不 让 任何 人 知道 其 他 人 的 薪水 呢 ? 

(1) Alice 在 她 的 薪水 上 加 一 个 秘密 的 随机 数 ， 并 把 结果 用 Bob 的 公开 密 钥 加 密 ， 然 后 
把 它 送 给 Bob, 

(2) Bob 用 他 的 私人 密 钥 对 Alice 的 结果 解密 。 他 把 他 的 薪水 加 到 他 从 Alice 那里 收 到 
的 结果 上 ， 用 Carol 的 公开 密 钥 对 结果 加 密 ， 并 把 它 送 给 Carol, 

(3) Carol 用 她 的 私人 密 钥 对 Bob 的 结果 解密 。 她 把 她 的 薪水 和 她 从 Bob 那里 收 到 的 结 
果 相 加 ， 再 用 Dave 的 公开 密 钥 对 结果 加 密 ， 并 把 它 送 给 Dave, 

(4) Dave 用 他 的 私人 密 钥 对 Carol 的 结果 解密 。 他 把 他 的 薪水 和 他 从 Carol 那里 收 到 的 
结果 相 加 ， 再 用 Alice 的 公开 密 钥 对 结果 加 密 ， 并 把 它 送 给 Alice. 

(5) Alice 用 她 的 私人 密 钥 对 Dave 的 结果 解密 。 她 减 去 第 一 步 中 的 随机 数 以 恢复 每 个 人 
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薪水 之 总 和 。 

(6) Alice 把 这 个 结果 除 以 人 数 〈 这 里 是 4)， 并 宣布 结果 。 

这 个 协议 假定 每 个 人 都 是 诚实 的 。 如 果 参 与 者 谎报 了 他 们 的 薪水 ， 则 这 个 平均 值 将 是 错 
误 的 。 一 个 更 严重 的 问题 是 Alice 可 以 对 其 他 人 谎报 结果 。 在 第 〈5) 步 她 可 以 从 结果 中 减 
去 她 喜欢 的 数 ， 并 且 没 有 人 能 知道 。 可 以 通过 使 用 任何 4. 9 节 中 的 位 承诺 方案 要 求 Alice 传 
送 她 的 随机 数 来 阻止 Alice 这 样 做 ,但 当 Alice 在 协议 结束 时 泄露 了 她 的 随机 数 ，Bob 就 可 
以 知道 她 的 薪水 。 


6.2.2 协议 2 


Alice 和 Bob 一 起 坐 在 一 家 餐馆 中 ， 正 在 争论 谁 的 年 纪 大 。 然 而 他 们 都 不 想 告 诉 对 方 他 
们 的 年 龄 。 他 们 可 以 把 他 们 的 年 龄 悄悄 地 告诉 一 个 可 信赖 的 中 立方 〈 例 如 ， 侍 者 )， 那 个 人 
在 脑 中 比较 两 个 数 并 对 Alice 和 Bob 宣布 这 个 结果 。 

上 面 的 这 个 协议 存在 两 个 问题 。 一 个 是 ， 普 通 侍者 不 具备 处 理 比 确定 两 个 数 之 中 哪 一 个 
大 更 复杂 的 问题 的 计算 能 力 ; 另 一 个 是 ， 如 果 Alice 和 Bob 真 的 关心 他 们 信息 的 秘密 ， 他 们 
不 得 不 将 这 个 侍者 扔 进 一 个 汤 碗 淹 死 ， 以 免 他 告诉 酒楼 服务 员 。 

公开 密 钥 密码 学 提供 了 一 个 远 非 如 此 残暴 的 解决 办 法 。 有 一 个 协议 是 Alice 知道 一 个 值 
a, H Bob 知道 一 个 值 5， 他 们 能 一 起 确定 a 是 否 小 于 5， 而 Alice 得 不 到 2 的 任何 信息 ， 
Bob 也 得 不 到 a 的 任何 信息 。 并 且 ，Alice 和 Bob 能 相信 计算 的 有 效 性 。 所 有 的 密码 学 算法 
都 是 这 个 协议 的 重要 部 分 ， 详 细 情 况 参 见 23. 14 节 。 

当然 ， 这 个 协议 不 防止 主动 欺骗 者 。 没 有 办 法 防止 Alice (或 Bob) 谎报 他 们 的 年 龄 。 
如 果 Bob 是 一 个 隐蔽 执行 这 个 协议 的 计算 机 程序 ， ABA Alice 通过 反复 执行 这 个 协议 可 以 知 
道 他 的 年 龄 。( 一 个 计算 机 程序 的 年 龄 是 指 从 程序 被 写 出 以 来 的 时 间 长 度 ， 还 是 从 它 开 始 运 
行 的 时 间 长 度 ?) Alice 可 以 在 执行 这 个 协议 时 ， 指 定 她 的 年 龄 为 60。 在 得 知 她 的 年 龄 大 时 ， 
她 可 以 将 她 的 年 龄 指定 为 30， 再 次 执行 这 个 协议 。 在 得 知 Bob 的 年 龄 大 后 ， 她 可 以 称 她 的 
年 龄 为 45 再 次 执行 这 个 协议 ， 依 此 继续 下 去 ， 直 到 Alice 发 现 Bob 的 年 龄 达到 她 所 希望 的 
精确 度 。 

假设 参与 者 不 主动 欺骗 ， 很 容易 把 这 个 协议 推广 到 多 个 参与 者 。 任 何 数量 的 人 通过 一 系 
列 诚实 应 用 这 个 协议 可 以 发 现 他 们 年 龄 的 顺序 ， 并且 没有 一 个 参与 者 能 够 得 知 男 一 个 参与 者 
的 年 龄 。 


6.2.3 协议 3 


Alice 喜欢 用 玩具 能 做 一 些 古怪 的 事 ，Bob 则 沉迷 于 大 理 石 桌子 。 他 们 都 对 他 们 的 癖好 
特别 难为 情 ， 但 却 想 找 一 个 有 共同 韵 好 的 伴 倡 。 

保密 的 多 方 计算 约 会 服务 (Secure Multiparty Computation Dating Service) 为 这 样 的 人 
设计 了 一 个 协议 。 我 们 已 将 一 个 令 人 惊奇 的 壮 好 编号 ， 从 “ 土 豚 ”到 “zoot 套装 ”。Alice 和 
Bob 彼此 分 开 ， 通过 一 个 调制 解 调 器 相连 ， 他 们 便 能 参与 一 个 保密 的 多 方 协 议 。 他 们 可 以 一 
起 确定 他 们 是 否 有 同样 的 韵 好 。 如 果 有 的 话 ， 他 们 可 以 期 望 建立 一 种 终生 的 率 福 关系 ; 如果 
没有 ， 则 可 以 彼此 分 开 ， 而 且 他 们 的 特殊 个 人 信息 仍 保持 机 密 。 没 有 人 ， 甚 至 是 保密 多 方 计 
算 约 会 服务 也 不 知道 。 

下 面 是 该 协议 的 工作 过 程 : 

(1) 使 用 一 个 单 向 函数 ，Alice 将 她 的 壮 好 散 列 得 到 一 个 7 位 数字 的 字符 串 。 
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(2) Alice 用 这 7 位 数字 作为 一 个 电话 号 码 ， 拨 号 ， 给 Bob 留 下 一 条 消息 。 如 果 没 有 人 
回答 或 电话 号 码 无 效 ，Alice 给 这 个 电话 号 码 申 请 一 个 单 向 函数 直到 她 找到 一 个 与 她 有 相同 
REEMA. . 

(3) Alice 告诉 Bob 她 为 她 的 癖好 申请 一 个 单 向 函数 的 次 数 。 

(4) Bob 花 了 与 Alice 相同 的 次 数 散 列 他 的 间 好 。 他 也 用 这 7 位 数字 作为 电话 号 码 ， 询 
问 其 他 人 是 否 留 给 他 消息 。 

注意 Bob 能 进行 选择 明文 攻击 。 他 可 以 散 列 一 般 的 韵 好 并 拨 所 得 的 电话 号 码 ， 查 找 给 
他 的 消息 。 只 有 在 不 可 能 得 到 足够 多 的 明文 消息 的 情况 下 这 个 协议 才能 真正 执行 。 

还 有 一 个 数学 协议 ， 类 似 于 协议 2。Alice HGH a, Bob 知道 6?， 并 且 他 们 在 一 起 可 以 确 
EEN a=b, {H Bob 不 知道 关于 a 的 任何 事 且 Alice 不 知道 关于 2 的 任何 事 。 详 细 情 况 请 参 
见 23.14 节 。 


6.2.4 协议 4 

RY PR EN Se Tr i EEE Rs 这 里 有 一 个 七 方 委员 会 ， 他 们 定期 开会 对 某 些 
问题 秘密 表决 。( 不 错 ， 他 们 秘密 地 统治 着 世界 一 一 不 要 把 我 告诉 你 的 事 告诉 任何 人 。) 所 有 
委员 会 成 员 可 以 投票 表决 yes 或 no。 另 外， 有 两 方 有 权利 投 超级 选票 : S-yes 和 Sno。 但 他 
们 不 一 定 要 投 超级 选票 ， 如 果 他 们 愿意 ， 也 可 以 投 一 般 选 票 。 如 果 没 有 人 投 超级 选票 ， 则 选 
票 的 多 数 决定 这 个 问题 ;在 一 张 或 两 张 结果 相同 的 超级 选票 情况 下 ， 所 有 普通 选票 被 忽略 ; 
在 两 张 结 果 相 反 的 超级 选票 情况 下 ， 普 通 选票 的 多 数 决定 这 一 问题 。 我 们 需要 一 个 能 安全 执 
行 这 类 投票 的 协议 。 

下 面 两 个 例子 将 阐述 投票 过 程 。 假 设 有 5 个 普通 投票 者 ， NoN, 两 个 超级 投票 者 : 
Si 和 S;。 下 面 是 关于 问题 1 的 选票 : 

Si S, N; N, N; N, N; 

S-yes no no no no yes yes 
在 这 个 例子 中 唯一 起 作用 的 选票 是 S 的 票 并 且 结果 是 yeso 

下 面 是 关于 问题 2 的 选票 ; 

Sı S: N, N: N; N, N; 

S-yes S-no no no no yes yes 
这 里 两 张 超级 选票 抵消 ， 普 通 选 票 多 数 的 no 决定 这 一 问题 。 

如 果 是 超级 选票 还 是 普通 选票 起 决定 性 作用 这 一 点 无 需 隐藏 ， 则 这 是 一 个 安全 投票 协议 
的 简单 应 用 ; 如 果 这 一 点 很 重要 ， 则 需要 一 个 更 复杂 的 保密 多 方 计算 协议 。 

这 种 投票 可 能 会 发 生 在 现实 生活 中 。 它 可 以 是 一 个 公司 组 织 结构 的 一 部 分 ， 这 里 某 些 人 比 其 
他 人 有 更 大 的 权力 ， 或 者 它 是 联合 国 做 法 的 一 部 分 ， 其 中 某 些 国家 比 其 他 国家 有 更 大 的 权力 。 





6.2.5 无 条 件 多 方 安全 协议 

这 只 是 一 般 定 理 的 一 种 简单 情况 : 任何 nn 个 输入 的 函数 可 以 被 n 个 人 用 这 种 办 法 计算 ， 
使 得 所 有 人 都 知道 函数 的 值 ， 但 任何 少 于 n/2 个 人 的 一 群 人 都 得 不 到 除了 他 们 自己 的 输入 和 
输出 信息 值 之 外 的 任何 附加 信息 。 细 节 见 [136、334、1288、621]。 
6.2.6 保密 电路 计算 

Alice 的 输入 为 a，Bob 的 输入 为 6。 他 们 希望 一 起 计算 一 些 普通 函数 Ca, b), KPE 
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得 Alice 不 知道 Bob 的 输入 情况 ，Bob 也 不 知道 关于 Alice 的 输入 情况 。 保 密 多 方 计算 的 一 
般 性 问题 也 称 为 保密 电路 计算 (secure circuit evaluation) 。 这 里 ，Alice 和 Bob 可 以 创造 一 
个 任意 的 布尔 电路 ， 这 个 电路 接收 来 自 Alice 和 Bob 的 输入 并 产生 一 个 输出 。 保 密 电路 计算 
是 一 个 完成 下 面 三 件 事 的 协议 : 

(1) Alice 可 以 键入 她 的 输入 且 Bob 不 能 知道 它 

(2) Bob 可 以 键入 他 的 输入 是 Alice 不 能 知道 它 。 

(3) Alice 和 Bob 都 能 计算 这 个 输出 ， 双 方 都 确信 输出 是 正确 的 且 没 有 一 方 能 审改 它 

保密 电路 计算 的 详细 情况 参见 文献 L831j]。 


6.3 匿名 消息 广播 
你 无 法 同一 群 密码 员 一 起 出 去 进餐 而 不 引起 争吵 。 在 文献 [321] H, David Chaum 提 
出 了 密码 员 进 餐 问 题 : 
三 位 密码 员 正 坐 在 他 们 最 喜欢 的 三 星 级 餐馆 准备 进餐 。 侍 者 通知 他 们 这 是 
Maitredh6tel 安排 的 且 需 匿名 支付 账单 。 其 中 一 个 密码 员 可 能 正在 付 账 ， 或 者 可 能 
已 由 NSA 付 过 了 。 这 三 位 密码 员 都 尊重 彼此 匿名 付 账 的 权力 ， 但 他 们 要 知道 是 不 
是 NSA 在 付 账 。 
这 三 个 密码 员 分 别 叫 Alice, Bob 和 Carol， 他 们 怎样 才能 确定 他 们 之 中 的 一 个 正在 付 账 
同时 又 要 保护 付 账 者 的 匿名 呢 ? 
Chaum 接着 解决 了 这 个 问题 : 
每 个 密码 员 在 他 的 菜单 后 ， 在 他 和 他 右边 的 密码 员 之 间 抛 搬 一 枚 公平 的 硬币 ， 
以 致 只 有 他 们 两 个 能 看 到 结果 。 然 后 每 个 密码 员 都 大 声 说 他 能 看 到 的 两 枚 梗 币 (他 
抛 的 一 个 和 他 左手 邻居 抛 的 那个 ) ， 落 下 来 是 同一 面 还 是 不 同 的 一 面 。 如 果 有 一 个 
密码 员 付 账 ， 他 就 说 所 看 到 的 相反 的 结果 。 在 桌子 上 说 不 同 的 人 数 为 奇数 表明 有 一 
个 密码 员 在 付 账 ; 不 同 为 偶数 表明 NSA EAK (假设 晚餐 只 付 一 次 账 )。 还 有 ， 
如 果 一 个 密码 员 在 付 账 ， 另 两 个 人 都 不 能 从 所 说 的 话 中 得 知 关于 那个 密码 员 付 账 的 
任何 事 。 


为 了 明白 这 是 如 何 起 作用 的 。 不 妨 想象 Alice 试图 弄 清 其 他 哪个 密码 员 为 晚餐 付 了 上 账 
(假设 既 不 是 她 也 不 是 NSA 付 的 ) 。 如 果 她 看 见 两 个 不 同 的 硬币 ， 那 么 另外 两 个 密码 员 Bob 
和 Carol 或 者 都 说 “相同 ”， 或 者 都 说 “不 同 ”( 记 住 ， 密 码 员 说 “不 同 ” 的 次 数 为 奇数 ， 表 
明 他 们 中 有 一 个 付 了 账 ) 。 如 果 都 说 “不 同 ”， 那 么 付 账 者 是 最 靠近 与 隐藏 的 便 币 〈 指 Bob 
与 Carol 之 间 的 硬币 ) 相同 的 那 枚 硬币 的 密码 员 ; 如 果 都 说 “相同 ”， 那 么 付 账 者 是 最 靠近 
与 隐藏 的 硬币 不 同 的 那 枚 硬币 的 密码 员 。 但 是 ， 如 果 Alice 看 见 两 枚 硬币 是 相同 的 ， 那么 或 
者 Bob 说 “相同 ”而 Carol 说 “不 同 ”,， 或 者 Bob 说“ 不同 ”而 Carol 说 “相同 ”。 如 果 隐 藏 
的 硬币 和 她 看 到 的 两 枚 硬币 相同 ， 那 么 说 “不 同 ” 的 密码 员 是 付 账 者 ;如 果 隐 藏 的 硬币 和 她 
看 到 的 两 枚 硬币 不 同 ， 那 么 说 “相同 ”的 密码 员 是 付 账 者 。 在 所 有 这 些 情况 中 ，Alice 都 需 
要 知道 Bob 和 Carol 抛掷 硬币 的 结果 以 决定 是 他 们 中 的 哪 一 位 付 的 账 。 

这 个 协议 可 以 推广 到 任意 数量 的 密码 员 : 他 们 全 都 坐 成 一 圈 并 在 他 们 中 抛掷 硬币 。 甚 至 
两 个 密码 员 也 能 执行 这 个 协议 ， 当 然 他 们 知道 谁 付 的 账 ， 但 是 观看 这 个 协议 的 人 只 知 道 是 一 
个 密码 员 付 的 账 还 是 NSA 付 的 账 ， 他 们 不 会 知道 是 哪个 密码 员 付 的 账 。 
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这 个 协议 的 应 用 远 远 超 出 了 围 坐 在 一 家 餐桌 的 范围 。 这 是 一 个 无 条 件 的 发 送 者 和 接收 者 
不 可 追踪 性 (unconditional sender and recipient untraceability) 的 例子 。 在 网 络 上 的 一 群 用 
户 可 以 用 这 个 协议 发 送 匿 名 消息 。 

d) 用 户 把 他 们 自己 排 成 一 个 逻辑 圆圈 。 

(2) 在 一 定 的 时 间 间 隔 内 ， 相 邻 的 每 对 用 户 在 他 们 之 间 抛 掷 硬 币 ， 使 用 一 些 公平 的 硬币 
抛掷 协议 防止 历 听 者 。 

(3) 在 每 次 抛掷 之 后 每 个 用 户 说 “相同 ”或 “不 同 ”。 

如 果 Alice 硕 望 广播 一 条 消息 ， 那 么 她 可 以 简单 地 从 用 二 进 制 表示 的 消息 1 开始 颠倒 
陈述 。 例 如 ， 如 果 消 息 是 “1001”， 则 她 依次 颠倒 陈述 ， 说 出 真情 ， 说 出 真情 然后 再 颠倒 
陈述 。 假 设 她 抛掷 的 结果 是 “不 同 ”"、“ 相 同 ”"、“ 相 同 ” “相同 ”， 则 她 将 说 “相同 ”、“ 相 
同 ”、“ 相 同 ”、“ 不 同 ”。 

如 果 Alice 发 现 协议 的 所 有 结果 都 和 她 要 发 送 的 消息 不 匹配 ， 那 么 她 知道 其 他 人 同时 
也 正在 试图 发 送 一 条 消息 。 然 后 她 停止 发 送 消 息 ， 并 在 试图 再 次 发 送 前 等 待 一 个 随机 的 
轮 次 。 虽 然 人 们 必须 基于 这 个 网 络 上 消息 通信 的 数量 算出 准确 参数 ， 但 这 个 想法 应 该 是 

为 了 让 这 些 事 更 令 人 感 兴趣 ， 可 以 用 其 他 用 户 的 公开 密 钥 加 密 。 然 后 ， 当 每 个 人 都 收 到 
这 个 消息 (这 个 协议 的 真正 实现 应 该 加 上 一 种 标准 的 消息 开始 和 消息 结束 字符 串 ) 时 ， 只 有 
想 要 接收 的 人 能 解密 并 读 出 这 条 消息 ， 而 其 他 人 都 不 知道 是 谁 发 送 的 ， 也 不 知道 谁 能 读 它 。 
虽然 信息 流量 分 析 可 以 跟踪 并 编辑 人 们 通信 的 模式 ， 即 使 这 些 消息 本 身 被 加 密 ， 但 对 此 也 无 
能 为 力 。 

代替 在 相 邻 方 之 间 抛 掷 硬币 的 一 种 方法 是 保留 一 个 随机 位 的 共同 文件 。 他 们 也 许可 以 把 
它们 放 在 一 个 CD-ROM 上 , 或 者 这 一 对 中 一 方 可 以 产生 一 堆 随 机 位 并 把 它们 送 给 另 一 方 
(当然 是 加 密 的 ) 。 另 一 种 办 法 是 ， 他 们 可 以 在 他 们 之 间 商 定 一 个 保密 的 伪 随 机 数 产 生 器 ， 并 
且 他 们 每 一 个 都 能 为 协议 产生 相同 的 伪 随 机 位 字符 串 。 

这 个 协议 的 一 个 问题 是 ， 虽然 一 个 恶意 的 参与 者 不 能 读 出 消息 ， 但 他 能 通过 在 第 (3) 
步 中 说 谎 来 破坏 系统 。 修 改 先 前 的 协议 可 以 检测 破坏 "5 24 ， 这 个 问题 称 为 “在 迪斯科 舞 
厅 里 吃饭 的 密码 员 ”。 


6.4 数字 现金 

现金 是 一 个 问题 。 它 难于 搬运 、 传 播 病 菌 并 且 别 人 能 从 你 那里 把 它 偷 走 。 支 票 和 信用 卡 
大 大 减少 了 社会 上 实际 现金 的 流通 量 ， 但 根本 不 可 能 完全 取消 现金 。 这 永远 不 会 发 生 ， 毒 品 
贩子 和 政治 家 永远 不 会 赞成 它 。 支 票 和 信用 卡 具 有 审计 线索 ， 你 不 可 能 隐瞒 你 把 钱 给 了 谁 。 

另 一 方面 ， 支 票 和 信用 卡 使 别人 可 以 侵犯 你 的 隐私 ， 其 程序 是 以 前 想象 不 到 的 。 你 决 不 
会 同意 警察 跟随 你 一 生 ， 但 是 警察 可 以 查看 你 的 金融 交易 。 他 们 能 知道 你 在 哪里 买 汽油 ， 在 
哪里 买 食物 ， 你 和 谁 通 电话 一 一 所 有 这 一 切 都 逃 不 过 他 们 的 计算 机 终端 。 为 了 保护 隐私 ， 人 
们 需要 有 一 种 方法 来 保护 他 们 的 匿名 权 。 

幸运 的 是 ， 有 一 个 复杂 协议 容许 消息 可 以 确证 ， 但 不 可 跟踪 。 说 客 Alice 能 把 数字 现金 
(digital cash) 转移 给 参议 员 Bob ， 并 使 得 新 闻 记 者 Eve 不 知道 Alice 的 身份 ，Bob 然后 可 把 
这 笔 电 子 货币 存 人 他 的 账户 ， 即 使 是 银行 也 不 知道 Alice 是 谁 。 但 是 如 果 Alice 试图 以 用 来 
贿赂 Bob 的 同一 笔 数字 现金 来 买 可 卡 因 ， 那 么 她 会 被 银行 检测 出 来 。 如 果 Bob 试图 把 同一 
笔 数字 现金 存 人 两 个 不 同 账户 ， 他 也 会 被 发 现 一 一 但 Alice 仍 保持 匿名 。 为 了 把 它 与 带 审计 
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追踪 的 数字 现金 如 信用 卡 相 区 别 ， 有 时 把 它 叫 做 匿名 数字 现金 (anonymous digital cash), 
这 类 东西 有 着 很 大 的 社会 需求 。 随 着 网 上 商业 交易 的 发 展 ， 商 业 上 日 益 需 要 更 多 称 为 网 络 隐 
私 和 网 络 匿名 的 东西 。( 人 们 有 很 好 的 理由 不 愿意 通过 互联 网 传送 他 们 的 信用 卡号 。) 另 一 方 
面 ， 银 行 和 政府 似乎 不 愿 放弃 目前 银行 系统 提供 的 审计 追踪 控制 。 尽 管 如 此 ， 他 们 不 得 不 放 
弃 。 有 些 可 信赖 的 机 构 愿 意 将 数字 现金 转换 为 真正 的 现金 。 ` 
数字 现金 协议 非常 复杂 。 下 面 我 们 将 构建 一 个 ， 一 步 一 步 来 。 较 正式 的 细节 ， 参 见 文献 
L318、339、325、335、340]。 要 认识 到 这 只 是 一 个 数字 现金 协议 ， 还 有 其 他 的 。 


6.4.1 协议 1 


前 面 几 个 协议 是 密码 协议 的 具体 应 用 。 这 第 一 个 协议 是 一 个 有 关 匿 名 汇票 的 简单 化 的 物 
理 协 议 : 

(1) Alice 准备 了 100 张 1000 美元 的 匿名 汇票 。 

(2) Alice 把 每 张 汇 票 和 一 张 复写 纸 放 进 100 个 不 同 信封 内 ， 她 把 这 些 全 部 交 给 银行 。 

(3). 银行 开启 99 个 信封 并 确认 每 个 都 是 一 张 1000 美元 的 汇票 。 

(4) 银行 在 余下 的 一 个 未 开启 的 信封 上 签名 ， 签 名 通过 复写 纸 印 到 汇票 上 。 银 行 把 这 个 
未 开启 的 信封 交还 给 Alice， 并 从 她 的 账户 上 扣除 1000 美元 。 

(5) Alice 打开 信封 并 在 一 个 商人 处 花 掉 了 这 张 汇票 。 

C6) 商人 检查 银行 的 签名 以 确信 这 张 汇票 是 合法 的 。 

《7) 商人 拿 着 这 张 汇票 去 银行 。 

(8) 银行 验证 它 的 签名 并 把 1000 美元 划 入 这 个 商人 的 账户 。 

这 个 协议 能 起 作用 。 和 银行 从 未 看 到 它 签 的 那 张 汇票 ， 因 此 当 这 个 商人 把 它 带 到 银行 时 ， 
银行 不 知道 它 是 Alice 的 。 虽然 如 此 ， 因 为 这 个 签名 的 缘故 银行 还 是 相信 它 有 效 。 银 行 相信 
未 开局 的 汇票 是 1000 美元 的 〈 既 不 是 100 000 美元 也 不 是 100 000 000 美元 )， 那 是 因为 采用 
分 割 选择 协议 (参见 5. 1 节 ) 的 缘故 。 它 验证 了 其 他 99 个 信封 ， 故 Alice 仅 有 1% 的 机 会 其 
骗 银行 。 当 然 ， 银 行 对 于 欺诈 将 进行 足够 狠 的 惩罚 以 致 它 与 机 会 相 比 是 不 值 的 。 如 果 银 行内 
是 拒绝 在 最 后 一 张 支 票 上 签名 GUIR Alice 被 发 现在 欺骗 ) 而 不 惩罚 Alice 的 话 ， 她 将 继续 
尝试 直到 她 碰 上 大 运 。 坐 牢 是 一 种 较 好 的 威慑 。 


6.4.2 协议 2 


前 一 个 协议 防止 了 Alice 在 一 张 汇票 上 写 人 比 她 宣称 的 更 多 的 钱 ， 但 它 没 有 防止 Alice 
将 这 张 汇 票 照 相 复制 并 两 次 花 掉 它 。 这 叫做 双重 花费 问题 (double spending problem), 为 
了 解决 这 个 问题 ， 需 要 一 个 复杂 的 协议 : 

(1) Alice 准备 100 张 1000 美元 的 匿名 汇票 。 在 每 一 张 汇 票 上 包含 了 一 个 不 同 的 唯一 的 
随机 字符 串 ， 字 符 串 长 到 足以 使 另 一 个 人 也 用 它 的 机 会 微乎其微 。 

(2) Alice 把 每 张 汇 票 和 一 张 复写 纸 一 起 装 入 100 个 不 同 的 信封 ， 并 把 它们 全 部 交 给 银行 。 

(3) 银行 开启 99 个 信封 并 确认 每 张 汇票 都 是 1000 美元 ， 而 且 所 有 随机 唯一 字符 串 都 
不 同 。 

(4) 银行 在 余下 的 一 个 未 开启 的 信封 上 签名 ， 签 名 通过 复写 纸 印 到 汇票 上 。 银 行 把 这 个 
未 开启 的 信封 交 回 给 Alice， 并 从 她 的 账户 上 扣除 1000 美元 。 

(5) Alice 打开 信封 并 在 一 个 商人 处 花 掉 这 张 汇票 。 
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(6) 商人 检查 银行 的 签名 以 确信 汇票 是 合法 的 。 

(7) 商人 拿 着 这 张 汇票 来 到 银行 。 

(8) 银行 验证 它 的 签名 ， 并 检查 它 的 数据 库 以 确信 有 相同 的 唯一 字符 串 的 汇票 先前 没有 
被 存 过 。 如 果 没 有 ， 银 行 把 1000 美元 划 到 这 个 商人 的 账户 上 。 和 银行 在 数据 库 中 记录 这 个 随 
机 字符 串 。 

(9) 如 果 它 先前 被 存 过 ， 银 行 不 接受 这 张 汇票 。 

现在 ， 如 果 Alice 试图 使 用 这 张 汇票 的 复制 件 ， 或 者 如 果 这 个 商人 试图 用 这 张 汇 票 的 复 
制 件 存款 ， 银 行 都 会 知道 。 

6.4.3 协议 3 

前 一 个 协议 保护 了 银行 不 受 舱 骗 者 的 欺骗 ， 但 它 没 有 识别 出 这 些 欺骗 者 。 银 行 不 知道 是 
买 这 张 汇票 的 人 “〈 银 行 不 知道 是 Alice) 试图 欺骗 这 个 商人 还 是 这 个 商人 试图 欺骗 银行 。 这 
个 协议 纠正 如 下 : 

(1) Alice 准备 了 100 张 1000 美元 的 匿名 汇票 。 在 每 一 张 汇票 上 包含 了 一 个 不 同 的 唯一 
的 随机 字符 串 ， 字 符 串 长 到 足以 使 男 一 个 人 也 用 它 的 机 会 微乎其微 。 

(2) Alice 把 每 张 汇 票 和 一 张 复写 纸 一 起 装 入 100 个 不 同 的 信封 ， 并 把 它们 全 部 交 给 银行 。 

(3) 银行 开启 99 个 信封 并 确认 每 张 汇票 都 是 1000 美元 ， 而 且 所 有 随机 字符 串 都 不 同 。 

(4) 银行 在 余下 的 一 个 未 开启 的 信封 上 签名 ， 签 名 通过 复写 纸 印 到 汇票 上 。 银 行 把 这 个 
未 开启 的 信封 交 回 给 Alice， 并 从 她 的 账户 上 扣除 1000 美元 。 

(5) Alice 打开 信封 并 在 商人 处 花 掉 了 这 张 汇 票 。 

(6) 商人 检查 银行 的 签名 以 确信 汇票 是 合法 的 。 

(7) 商人 要 求 Alice 在 汇票 上 写 一 个 随机 识别 字符 串 。 

(8) Alice 同意 。 

(9) 这 个 商人 拿 着 这 张 汇票 来 到 银行 。 

(10) 银行 验证 签名 并 检查 它 的 数据 库 以 确信 具有 相同 唯一 字符 串 的 汇票 先前 没有 被 存 
过 。 如 果 没 有 ， 银 行 把 1000 美元 划 归 到 商人 的 账户 上 。 银 行 在 数据 库 中 记 下 这 个 唯一 字符 
串 和 识别 字符 串 。 

(11) 如 果 这 个 唯一 字符 串 在 数据 库 中 ， 银 行 拒 收 这 张 汇 票 。 接 着 ， 它 将 汇票 上 的 识别 
字符 串 同 存储 在 数据 库 中 的 识别 字符 串 比较 。 如 果 相 同 ， 银 行 知道 商人 复制 了 这 张 汇 票 ， 如 
果 不 同 ， 银 行 知 道 买 这 张 汇 票 的 人 复制 了 它 。 

这 个 协议 假设 一 旦 Alice 在 汇票 上 写 上 这 个 识别 字符 串 ， 那 个 商人 就 不 能 改变 它 。 汇 票 
可 能 有 一 系列 小 方 格 ， 商 人 会 要 求 Alice 用 X 或 O 填充 这 些小 方 格 。 汇 票 可 能 是 用 如 果 要 抹 
去 就 斯 掉 的 纸 做 成 。 

由 于 商人 和 银行 之 间 的 交互 发 生 在 Alice 花 钱 之 后 ， 所 以 商人 可 能 和 一 张 空头 汇票 牵连 
在 一 起 。 这 个 协议 的 具体 实现 可 以 要 求 Alice 在 商人 与 银行 交互 期 间 在 柜台 前 等 着 ， 很 像 是 
今天 的 信用 卡 交易 操作 的 方式 。 

Alice 可 能 会 试图 陷害 这 个 商人 。 她 可 以 第 二 次 花 一 张 汇票 的 复制 ,在 第 (7) 步 中 给 一 
个 同样 的 识别 字符 串 。 除 非 这 个 商人 保持 一 个 已 收 到 汇票 的 数据 库 ， 否 则 他 将 遭 到 欺骗 。 下 
一 个 协议 将 消除 这 个 问题 。 


6.4.4 协议 4 
如 果 证 明 是 买 汇票 的 人 试图 欺骗 商人 ， 和 银行 就 希望 知道 那个 人 是 谁 。 为 了 做 到 这 一 点 ， 
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要 求 我 们 从 实际 模拟 中 出 来 进入 密码 的 世界 。 
秘密 分 割 技术 可 以 用 来 在 数字 汇票 中 隐藏 Alice 的 名 字 。 
(1) Alice 对 给 定数 量 的 美元 准备 n 张 匿 名 汇票 。 
每 张 汇票 都 包含 了 一 个 不 同 的 随机 唯一 字符 串 X，X 足够 长 ， 足 以 使 有 两 个 字符 串 相 
同 的 机 会 微乎其微 。 
在 每 张 汇 票 上 也 有 对 鉴别 位 字符 串 IT ，I,，…，1,。 这 些 字符 串 对 中 的 每 一 个 都 是 按 
如 下 方式 产生 的 : Alice 创造 一 个 给 出 她 的 名 字 、 地 址 以 及 任何 其 他 银行 希望 见 到 的 鉴别 信 
息 的 字符 串 。 接 着 ， 她 用 秘密 分 割 协议 (参见 3. 6 节 ) 将 它 分 成 两 部 分 。 然 后 ， 她 使 用 一 种 
位 承诺 协议 传送 每 一 部 分 。 
例如 ，I; 由 两 部 分 组 成 : Ta 和 Ta。 每 一 部 分 是 一 个 可 以 要 求 Alice 打开 的 位 承诺 分 
组 ， 其 正确 打开 与 否 也 可 以 立即 验证 。 任 何 对 ， 如 Ta, 和 Ti ， 但 不 是 Ir, 和 Tss 都 会 揭示 
Alice 的 身份 。 
每 张 汇票 看 起 来 像 这 样 : 
总 数 
唯一 字符 串 :X 
SIFER: S(r) 
T= (erste) 


1,= (Leslie) 


(2) Alice 用 讶 签名 协议 隐蔽 所 及 张 汇票 。 她 把 它们 全 部 给 银行 。 

(3) 银行 要 求 Alice 恢复 随机 的 n 一 1 张 汇票 并 确认 它们 都 是 合格 的 。 银 行 检查 总 数 、 
唯一 字符 串 并 要 求 Alice 出 示 所 有 鉴别 字符 串 。 

(4) 如 果 银 行 对 Alice 没有 任何 进行 欺骗 的 企图 感到 满意 ， 则 在 余下 的 一 张 隐蔽 汇票 上 
签名 。 银 行 把 这 张 隐蔽 汇票 交 回 Alice， 并 从 她 的 账户 上 扣除 这 笔 钱 。 

(5) Alice 恢复 这 张 汇票 ， 并 在 一 个 商人 那里 花 掉 它 。 

(6) 商人 验证 银行 的 签名 以 确信 这 张 汇票 是 合法 的 。 

(7) REA BOR Alice 随机 揭示 汇票 上 每 个 鉴别 字符 串 的 左 半 或 右 半 。 实 际 上 ， 商 人 给 
Alice 一 个 随机 的 n 位 选择 字符 串 (select string) bi, bz, “t, bno Alice 根据 b; 是 0 还 是 1 
公开 I; 的 左 半 或 右 半 。 

(8) Alice 同意 。 

(9) 商人 拿 着 这 张 汇票 来 到 银行 。 

(10) 银行 验证 这 个 签名 并 检查 它 的 数据 以 确信 有 相同 唯一 字符 串 的 汇票 先前 没有 被 存 
过 。 如 果 没 有 ， 银 行 把 这 笔 钱 划 到 商人 的 账 上 。 银 行 在 它 的 数据 库 中 记 下 这 个 唯一 字符 串 和 
所 有 识别 信息 。 

(11) 如 果 这 个 唯一 字符 串 在 数据 库 中 ， 银 行 就 拒 收 汇票 。 接 着 ， 它 把 汇票 上 的 识别 字 
符 串 同 它 数据 库 中 存储 的 相 比 较 。 如 果 相 同 ， 银 行 知 道 商人 复制 了 汇票 ;如果 不同 ， 银 行 知 
道 买 汇票 的 人 复制 了 它 。 由 于 接收 这 张 汇票 的 第 二 个 商人 交 给 Alice 一 个 和 第 一 个 商人 不 同 
的 选择 字符 串 ， 银行 找 出 一 个 位 的 位 置 ， 在 这 个 位 的 位 置 上 ,一 个 商人 让 Alice 公开 了 左 
半 ， 而 另 一 个 商人 让 Alice 公开 了 右 半 。 银 行 异 或 这 两 半 以 揭露 Alice 的 身份 。 

这 是 一 个 相当 迷人 的 协议 ， 故 我 们 从 不 同 角度 来 看 看 它 。 

Alice 能 进行 欺骗 吗 ? 她 的 数字 汇票 不 过 是 一 个 位 字符 串 ， 所 以 可 以 复制 它 。 第 一 次 花 
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它 不 会 有 问题 ， 她 只 需 完 成 协议 ， 则 一 切 进展 顺利 。 商 人 在 第 〈7) 步 中 给 她 一 个 随机 的 
位 选择 字符 串 ， 并 且 Alice 在 第 (8) 步 中 将 公开 五 的 左 半 或 右 半 。 在 第 C10) 步 中 ， 银 行 
将 记录 所 有 这 些 数据 ， 连 同 汇票 的 唯一 字符 串 。 

当 她 试图 第 二 次 使 用 同一 张 数字 汇票 时 ， 商 人 【同一 个 商人 或 另 一 商人 ) 将 在 第 (7) 
步 中 给 她 一 个 不 同 的 随机 选择 字符 串 。Alice 必须 在 第 (8) 步 中 同意 ， 如 果 不 这 样 做 势必 立 
即 提醒 商人 有 些 事 值得 怀疑 。 现 在 ， 当 这 个 商人 在 第 (10) 步 中 将 汇票 带 到 银行 时 ， 银 行 会 
立即 发 现 带 相同 唯一 字符 串 的 汇票 已 经 存 过 。 银 行 接着 比较 鉴别 字符 串 中 所 有 公开 的 部 分 。 
两 个 随机 选择 字符 串 相 同 的 机 会 是 1/2"， 在 下 一 个 冰期 前 是 不 可 能 发 生 的 。 现 在 ， 银 行 找 
出 这 样 一 对 ， 其 中 一 半 第 一 次 被 公开 ， 另 一 半 第 二 次 被 公开 。 它 把 这 两 半 异 或 ， 马 上 得 到 
Alice 的 名 字 ， 于 是 银行 知道 谁 试图 两 次 花 这 张 汇票 。 

应 当 指 出 ， 这 个 协议 不 能 让 Alice 不 进行 欺骗 ， 但 它 几 乎 能 肯定 地 检测 她 的 欺骗 。 如 果 
Alice 进行 欺骗 ， 她 不 可 能 不 暴露 身份 。 她 不 可 能 改变 唯一 字符 串 或 识别 字符 串 ， 否 则 银行 
的 签名 将 不 再 有 效 。 商 人 将 在 第 (6) 步 中 马上 意识 到 这 点 。 

Alice 可 能 试图 偷 一 张 空 头 汇票 骗 过 银行 ， 这 张 汇 票 上 的 识别 字符 串 不 会 泄露 她 的 名 字 ， 
或 者 最 好 是 一 张 其 识别 字符 串 汇 露 其 他 人 名 字 的 汇票 。 她 在 第 G) 步 中 进行 这 种 坎 诈 骗 过 
银行 的 机 会 是 1/n。 这 并 非 不 可 能 ， 但 如 果 惩 罚 足够 严厉 的 话 ，Alice 就 不 敢 以 身 试 法 。 或 
者 ， 你 可 以 增加 Alice 在 第 (1) 步 中 制作 的 多 余 汇 票 的 数目 。 

这 个 商人 能 进行 欺骗 吗 ? 他 的 机 会 甚至 更 小 。 他 不 能 将 这 张 汇 票 存 两 次 ， 银 行将 会 发 现 
选择 字符 串 被 重复 使 用 。 他 不 能 捏造 以 陷害 Alice， 只 有 Alice 才能 打开 任意 的 识别 字符 串 。 

甚至 Alice 和 商人 合谋 也 不 能 欺骗 银行 。 一 旦 银行 在 带 有 唯一 字符 串 的 汇票 上 签名 ， 银 
行 就 确信 只 能 使 用 这 张 汇票 一 次 。 

银行 又 怎样 呢 ? 它 能 不 能 知道 它 从 商人 那儿 收 到 的 汇票 是 它 为 Alice 签 的 那 张 呢 ? 在 第 
(2) ~ (5) 步 中 的 盲 签名 协议 保护 了 Alice。 银 行 无 法 做 出 判断 ， 即 使 它 保留 了 每 次 交易 的 
完整 记录 。 说 得 更 重 些 ， 银 行 和 商人 在 一 起 也 无 法 知道 Alice 是 谁 。Alice 可 以 走 进 商 店 并 
且 完 全 匿名 地 购买 东西 。 

Eve 可 以 进行 欺骗 。 如 果 她 能 窃听 Alice 和 商人 之 间 的 通信 ， 并 能 在 商人 到 达 银 行 
之 前 先 到 达 银 行 ， 她 就 能 第 一 个 把 这 笔 数字 现金 存 人 她 的 账户 。 银 行将 会 接受 ， 甚 至 
更 糟 的 是 ， 当 商人 试图 存 和 人 数字 现金 时 他 会 被 认为 是 一 个 欺骗 者 。 如 果 Eve 偷 到 数字 
现金 并 在 Alice Z MEHE, WA Alice 会 被 认为 是 一 个 欺骗 者 。 没 有 办 法 防止 这 种 情 
况 ， 它 是 现金 匿名 的 直接 后 果 。 

这 个 协议 是 介 于 被 仲裁 协议 和 自我 执行 协议 之 间 的 协议 。Alice 和 商人 都 相信 银行 能 竞 
现汇 票 ， 但 Alice 不 必 信 任 知道 她 购物 的 银行 。 


6.4.5 数字 现金 和 高 明 的 犯罪 


数字 现金 也 有 它 不 利 的 一 面 。 有 时 人 们 并 不 需要 那么 多 的 隐私 。 看 看 Alice 进行 的 高 明 
的 犯罪 5 ， 
(1) Alice 绑架 了 一 个 婴儿 。 
(2) Alice 准备 了 10 000 张 每 张 1000 美元 的 匿名 汇票 〈 或 者 多 到 她 想 要 的 那么 多 ) 。 
(3) Alice 用 盲 签 名 协议 隐蔽 所 有 10 000 张 汇票 ， 她 把 它们 送 给 当局 并 威胁 除非 按 下 列 
指示 去 做 ， 和 否则 要 杀 死 婴儿 
(a) 让 银行 签 所 有 10 000 张 汇票 。 
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(b) 在 报纸 上 公布 结果 。 

(4) 当局 同意 。 

(5) Alice 买 了 一 张 报 纸 ， 恢 复 那些 汇票 ， 并 开始 花 它 们 。 当 局 没有 办 法 靠 追 足 这 些 汇 
票 来 抓 到 她 。 

(6) Alice 放 了 这 个 婴儿 。 

注意 这 种 情况 比 任何 涉及 实际 特征 的 情况 〈 如 现金 ) 都 更 糟糕 。 因 为 没有 物理 接触 ， 警 
察 很 难 有 机 会 抓 住 绑架 者 。 

不 过 ， 话 虽 如 此 ， 数 字 现 金 对 犯罪 分 子 来 说 也 算 不 上 理想 。 问 题 是 匿名 只 有 一 种 方式 奏 
效 : 消费 者 是 匿名 的 而 商人 不 是 。 而 且 ， 商 人 不 能 隐藏 他 收 到 钱 的 事实 。 数 字 现 金 使 政府 容 
易 知 道 你 挣 了 多 少 钱 ， 但 不 可 能 知道 你 把 钱 花 在 什么 上 。 


6.4.6 实用 化 的 数字 现金 


一 家 荷兰 公司 DigiCash 拥有 数字 现金 的 大 部 分 专利 并 已 经 在 实际 产品 中 实现 了 数字 现 
金 协 议 。 任 何 感 兴趣 的 人 可 按 以 下 地 址 与 该 公司 联系 : 
DigiCash BV, Kruislaan 419, 1098 VA Amsterdam, Netherlands, 


6.4.7 其 他 数字 现金 协议 


其 他 数字 现金 协议 ， 见 文献 [707、1554、734、1633、973]。 它 们 中 的 一 些 涉 及 相当 复 
杂 的 数学 问题 。 通 常 ， 各 种 数字 现金 协议 可 以 分 为 不 同 的 种 类 。 联 机 系统 (online system) 
需要 商人 在 每 次 销售 时 和 银行 联系 ， 很 像 今天 的 信用 卡 协议 。 如 果 有 问题 ， 银 行 不 会 接受 数 
字 现 金 ，Alice 不 能 行 骗 。 

脱 机 系统 (off-line system) ， 如 协议 4， 直 到 商人 与 顾客 交易 之 后 都 不 需要 商人 和 银 
行 之 间 的 通信 。 这 类 系统 可 以 发 现 Alice 行 骗 但 不 能 防止 Alice 行 骗 。 协 议 4 中 通过 验证 
Alice 的 身份 知道 她 是 否 试图 欺骗 来 发 现 她 的 欺骗 。Alice 知道 这 种 情况 会 出 现 ， 因 此 她 不 
会 欺骗 。 

男 一 种 方法 是 制造 一 个 特定 的 智能 卡 (参见 24.13 节 )， 它 包含 一 个 叫做 观察 者 
(observer) ”3334.3 的 防 帘 改 芯片 。 观 察 者 芯片 保存 了 一 个 所 有 关于 智能 卡 上 花 掉 的 数字 现 
金 信息 的 袖珍 数据 库 。 如 果 Alice 企图 复制 数字 现金 并 再 次 花 掉 它 ， 这 个 被 嵌入 在 内 的 观察 
者 芯片 就 会 发 现 并 禁止 交易 。 因 为 观察 者 芯片 是 防 窜改 的 ， 所 以 Alice 不 能 抹 掉 袖珍 数据 
库 ， 除 非 永久 性 地 损坏 智能 卡 。 数 字 现金 以 它 自 己 的 方式 在 经 济 领域 中 流通 ， 当 它 最 终 被 存 
人 银行 时 ， 银 行 可 以 检查 数字 现金 并 发 现 是 否 有 人 进行 欺骗 以 及 谁 在 进行 欺骗 。 

数字 现金 协议 也 可 以 被 分 在 男 一 类 。 电 子 货 币 (electronic coin) 有 固定 的 价值 ， 使 用 
这 个 系统 的 人 们 需要 若干 不 同 面额 的 硬币 。 电 子 支票 (electronic check) 可 以 用 在 任何 数量 
直到 最 大 值 上 ， 然 后 作为 退 款 返回 没有 用 完 的 部 分 。 

两 个 优秀 而 且 完整 的 不 同 脱 机 电子 货币 协议 见 文献 [225、226、227] 和 [563、564、 
565]。 有 一 个 系统 叫做 NetCash， 有 弱 匿 名 性 质 ， 也 在 文献 [1048、1049] 中 提出 。 另 一 个 
新 系统 见 文 献 [289]. 

在 文献 [1211] 中 ，Tatsuaki Okamoto 和 Kazuo Ohta 列 出 了 一 个 理想 数字 现金 系统 的 
六 个 性 质 : 

(1) 独立 性 。 数 字 现 金 的 安全 性 不 依赖 于 任何 物理 位 置 。 现 金 能 通过 计算 机 网 络 传送 。 

(2) 安全 性 。 数 字 现 金 不 能 被 复制 和 重用 。 


第 6 章 深奥 的 协议 ， 105 


(3) 隐私 性 (不 可 追踪 性 )。 用 户 的 隐私 受到 保护 ， 没 有 人 能 人 妃 踪 发 现 用 户 和 他 们 所 购 
物 之 间 的 关系 。 

(4) 脱 机 付款 。 当 一 个 用 户 用 电子 现金 为 所 购物 付款 时 ， 用 户 和 商人 之 间 的 协议 是 脱 机 
执行 的 。 也 就 是 说 ， 商 店 不 必 与 一 台 主 机 相连 以 处 理 用 户 的 付款 。 

(5) 可 转移 性 。 数 字 现 金 可 被 转移 给 其 他 用 户 。 

(6) 可 分 性 。 给 定数 量 的 数字 现金 能 被 分 成 较 小 数额 的 多 份 数 字 现 金 。 当然， 每 份 最 
后 加 起 来 总 数 还 是 那么 多 。) 

上 面 讨论 的 协议 满足 性 质 (1)、(2) 、(3) 和 (4)， 但 不 满足 性 质 (5) 和 6). (318, 
413, 1243] 中 讨论 了 一 些 满足 除 性 质 (4) 以 外 所 有 性 质 的 联机 数字 现金 系统 。[339] 中 提 
出 了 第 一 个 满足 性 质 (1)、(2)、(3) 和 (4) 的 脱 机 数字 现金 系统 ， 它 与 上 面 讨论 的 协议 类 
似 。Okamoto 和 Ohta 提出 了 一 个 满足 性 质 (1) ~ 6) 的 系统 92 。 他 们 也 提出 了 一 个 满 
足 性 质 〈1) ~ (6) 的 系统 ， 但 购买 一 件 物品 要 求 的 数据 大 约 为 200MB。 其 他 的 脱 机 可 分 
货币 系统 在 文献 [522] 中 讨论 。 

[1211] 中 还 提出 了 一 个 满足 性 质 (1) ~ (6) 的 数字 现金 系统 ， 这 个 系统 无 庞大 的 数 
据 要 求 。 一 次 付款 的 总 数据 传输 量 大 约 是 20KB， 并 且 协 议 能 在 儿 秒 钟 内 完成 。 作 者 认为 这 
是 第 一 个 理想 的 不 可 追踪 的 电子 现金 系统 。 


6.4.8 ”匿名 信用 卡 

文献 L988] 中 的 这 个 协议 用 在 多 个 不 同 的 银行 以 保护 顾客 的 身份 。 每 一 位 顾客 在 两 个 
不 同 银行 拥有 一 个 账户 ， 第 一 个 银行 知道 此 人 的 身份 并 愿意 发 给 他 信用 卡 ， 第 二 个 银行 仅仅 
知道 他 的 假名 (类似 于 瑞士 银行 的 账号 )。 

顾客 可 以 通过 证 明 账 户 是 他 的 从 而 从 第 二 个 银行 取出 资金 。 但 是 ， 银 行 不 知道 这 个 人 也 
不 许 发 给 他 信用 卡 。 第 一 个 银行 知道 这 个 顾客 并 转账 给 第 二 个 银行 一 一 用 不 着 知道 假名 。 顺 
客 然 后 就 可 以 匿名 地 使 用 这 笔 资金 。 在 月 末 ， 第 二 个 银行 给 第 一 个 银行 一 份 账单 ， 这 是 银行 
真正 应 该 支付 的 。 第 一 个 银行 把 顾客 应 该 支付 的 账单 送 给 顾客 。 当 顾客 付 账 后 ， 第 一 个 银行 
把 附加 资金 转账 到 第 二 个 银行 。 所 有 的 交易 都 是 通过 一 个 中 间 媒 介 处 理 的， 就 像 电 子 联 邦 储 
备 所 做 的 那样 : 在 银行 之 间 结 算账 目 、 登 记 消 息 和 产生 审计 追踪 。 

顾客 、 商 人 和 各 个 银行 的 交易 在 文献 [988] 中 描述 。 除 非 每 个 人 都 串通 起 来 陷害 顾客 ， 
人 否则 顾客 的 匿名 是 可 以 保证 的 。 然 而 ， 这 不 是 数字 现金 ， 银 行 很 容易 进行 欺骗 。 这 个 协议 允 
许 顾客 在 不 泄露 隐私 的 情况 下 保护 其 信用 卡 的 利益 。 
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7.1 对 称 密 钥 长 度 

对 称 密 码 系统 的 安全 性 是 算法 强度 和 密 钥 长 度 的 函数 : 前 者 更 加 重要 而 后 者 则 更 容易 
描述 。 
假设 算法 具有 足够 的 强度 。 实 际 上 这 点 极 难 做 到 ， 不 过 本 例 却 很 容易 。 这 里 足够 的 意思 
是 : 除了 用 穷 举 攻击 的 方式 试探 所 有 的 密 钥 外 没有 更 好 的 方法 破译 该 密码 系统 。 

为 了 发 动 对 密码 系统 的 攻击 ， 密 码 分 析 者 需要 少量 的 密 文 和 对 应 的 明文 ， 穷 举 攻击 是 一 
种 已 知 明文 的 攻击 。 对 分 组 密码 来 说 ， 密 码 分 析 者 需要 密 文 分 组 和 对 应 的 明文 分 组 : 通常 是 
64 位 。 获 得 明文 和 密 文 比 你 想象 的 要 容易 ， 密 码 分 析 者 可 通过 一 些 手 段 获 取 明 文 消息 的 副 
本 而 后 去 截取 相应 的 密 文 。 他 们 可 能 知道 有 关 密 文 格式 的 一 些 信息 : 如 它 是 一 个 WordPer- 
fect 文件 ， 它 有 一 个 标准 的 电子 邮件 消息 头 ， 它 是 一 个 UNIX 目录 文件 、 一 幅 TIFF 图 像 或 
用 户 数 据 库 中 的 一 个 标准 记录 。 而 所 有 这 些 格式 都 有 一 些 预定 义 字 节 。 密 码 分 析 者 不 需要 太 
多 的 明文 来 发 起 这 种 攻击 。 

很 容易 计算 一 次 穷 举 攻击 的 复杂 程度 。 如 果 密 钥 长 度 为 8 位 ,那么 有 2° =256 种 可 能 的 
密 钥 ， 因 而 找 出 正确 的 密 钥 将 需要 256 次 尝试 ， 在 128 次 尝试 后 找到 正确 密 钥 的 概率 是 
50% 。 假 如 密 钥 长 度 为 56 位 ， 就 有 2” 种 可 能 的 密 钥 。 设 想 有 一 台 每 秒 能 检验 100 万 个 密 钥 
的 超级 计算 机 ， 也 需要 2285 年 时 间 才 能 找 出 正确 的 密 钥 。 如 果 密 钥 长 度 为 64 位 ， 则 将 需要 
585 000 年 才能 在 2 种 可 能 的 密 钥 中 找 出 正确 的 密 钥 。 如 果 密 钥 长 128 位 ， 则 需要 10” 年 的 
时 间 。 字 宙 也 只 有 1028 年 的 历史 ， 相 对 而 言 10” 年 太 长 了 。 对 于 一 个 长 为 2048 位 的 密 钥 ， 
用 每 秒 尝试 百 万 个 密 钥 的 百 万 个 计算 机 并 行 工 作 要 10° 年 才能 完成 ， 到 那 时 宇宙 或 许 早已 
爆炸 或 膨胀 得 无 影 无 踪 了 。 

在 你 急 着 去 发 明 一 个 8KB 密 钥 的 密码 系统 之 前 ， 请 记 住 其 强度 问题 的 另 一 面 : 加 密 算 
法 必须 非常 安全 ， 以 至 于 除 穷 举 攻击 外 没有 其 他 更 好 的 方法 来 破译 它 。 这 并 不 像 看 上 去 那样 
容易 。 密 码 学 是 一 门 奇妙 的 艺术 ， 看 上 去 完善 的 密码 系统 往往 是 非常 脆弱 的 。 很 强 的 密码 系 
统 ， 哪 怕 是 一 点 点 的 改变 就 会 使 它 变 得 非常 脆弱 。 对 业余 密码 设计 人 员 的 忠告 是 要 对 任意 新 
的 算法 进行 健康 的 、 执 著 的 怀疑 ， 最 好 信任 那些 专业 密码 人 员 分 析 了 多 年 而 未 能 攻破 的 算 
法 ， 人 怀疑 那些 设计 者 宣称 其 安全 性 是 如 何 好 的 算法 。 

记得 1. 1 节 里 的 一 个 要 点 : 密码 系统 的 安全 性 应 依赖 于 密 钥 ， 而 不 是 依赖 于 算法 的 细 
节 ， 假 设 密码 分 析 者 已 经 获得 了 你 的 算法 的 所 有 细节 ， 假 设 他 们 能 够 得 到 发 起 唯 密 文 攻击 的 
足够 多 的 密 文 ， 假 设 他 们 能 够 得 到 发 起 明文 攻击 所 需要 的 尽 可 能 多 的 数据 ， 甚 至 假设 他 们 能 
进行 选择 明文 攻击 。 在 这 些 情况 下 ， 如 果 密 码 体制 仍然 是 安全 的 ， 那 么 它 就 达到 所 需要 的 安 
全 性 要 求 。 

忠告 归 忠 告 ， 在 密码 学 领域 业余 密码 人 员 还 是 有 许多 事 可 以 做 。 其 实 ， 这 里 讨论 的 安全 
性 在 许多 情况 下 并 非 必 需 ， 大 多 数 敌 人 并 不 具备 这 方面 的 知识 ， 也 不 具有 一 个 强大 国家 所 拥 
有 的 计算 资源 ， 甚 至 他 们 连 破 译 密 码 的 兴趣 都 没有 。 如 果 你 正 密谋 推翻 一 个 强大 的 政府 ， 就 
得 依靠 本 书后 面 讲 的 那些 可 靠 而 正确 的 算法 。 剩 下 的 ， 就 是 如 何 玩 得 开心 了 。 
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7.1.1 穷 举 攻击 所 需 时 间 和 人 金钱 估计 

记 住 ， 穷 举 攻击 是 一 种 典型 的 已 知 明文 攻击 。 它 需要 少量 的 密 文 和 相应 的 明文 。 如 果 你 
假设 穷 举 攻击 是 对 算法 最 有 效 的 攻击 (一 个 大 的 假设 )， 密 钥 必 须 足 够 长 以 致使 攻击 不 可 行 ， 
那么 密 钥 要 多 长 呢 ? 

有 两 个 参数 决定 了 穷 举 攻击 的 速度 : 需要 测试 的 密 钥 数量 及 每 个 测试 的 速度 。 大 多 数 对 称 
密码 算法 接受 一 个 固定 位 长 度 模式 作为 密 钥 。DES 算法 有 56 位 密 钥 ， 共 2”* 个 可 能 的 密 钥 。 本 
书 讨论 的 某 些 算法 有 64 位 密 钥 ， 也 就 是 说 ， 有 2 个 可 能 的 密 钥 ， 另 外 一 些 有 128 位 密 钥 。 

每 一 个 可 能 密 钥 的 测试 速度 也 是 一 个 因素 ， 但 重要 性 次 之 。 为 了 便于 分 析 ， 假 定 每 种 不 
同 算法 的 测试 时 间 相 同 。 实 际 上 测试 一 种 算法 的 速度 可 能 比 另 一 种 算法 的 速度 快 两 三 倍 ， 甚 
至 10 倍 。 但 由 于 我 们 正在 寻找 的 密 钥 长 度 比 破译 密码 的 难度 大 百 万 倍 之 多 ， 所 以 测试 速度 
小 小 的 差异 可 以 忽略 。 

在 密码 通信 中 关于 穷 举 攻击 效率 的 多 数 讨论 都 集中 在 DES 算法 上 。1977 年 ，Whitfield 
Diffie 和 Martin Hellman- 假设 了 一 种 专门 破译 DES 的 机 器 。 这 人 台 机 器 由 100 万 个 世 片 组 
成 ， 每 秒 能 测试 100 万 个 密 钥 。 这 样 它 可 在 20 个 小 时 内 测试 于 个 密 钥 ， 如 果 要 破译 64 位 
密 钥 的 算法 ， 它 可 在 214 天 内 尝试 所 有 的 密 钥 。 

穷 举 攻击 必须 有 并 行 处 理 器 。 每 个 处 理 髓 测试 密 钥 空间 中 的 一 个 子 集 ， 它 们 之 间 不 需要 
通信 (除了 报道 成 功 的 消息 )， 并 且 它 们 没有 共享 的 内 存 。 设 计 这 样 一 台 具 有 100 万 个 并 行 
处 理 器 的 机 器 ， 并 让 它们 彼此 独立 地 工作 是 很 容易 的 。 

最 近 ，Micheal Wiener 决定 设计 一 台 穷 举 攻击 机 器 ”“…”。 (这 人 台 机 器 是 为 攻击 DES 
设计 的 ， 但 对 任何 算法 都 适用 .) 他 设计 了 专门 的 芯片 、 主 板 、 支 架 ， 并 且 估 算 了 其 价格 。 
他 发 现 只 要 给 100 万 美元 就 能 制造 出 一 台 这 样 的 机 器 使 其 在 平均 3. 5 小 时 (最 多 不 超过 7 小 
时 ) 内 破译 56 位 密 钥 的 DES 算法 。 他 还 发 现 机 器 的 价格 和 破译 速度 之 比 是 线性 的 ， 表 7-1 
列 出 了 各 种 密 钥 长 度 的 对 应 数据 。 记 住 摩尔 定律 : 大 约 每 经 过 18 个 月 ， 计 算 机 的 计算 能 力 
MAE. ALAREN 5 年 价格 就 会 下 降 到 原来 的 10%, FLA 1995 年 所 需要 的 100 万 美元 
到 了 2000 年 就 只 用 花 10 万 美元 。 流 水 线 计算 机 能 够 做 得 更 好 5 。 


表 7-1 1995 年 硬件 穷 举 攻击 的 平均 时 间 和 人 金钱 估计 











a RAKE Cin) 
花费 的 金钱 (美元) 
40 56 64 80 112 128 
10 万 2 秒 35 小 时 年 70 000 年 1014 年 10194 
100 万 0. 2 fb 3. 5 小 时 37 天 7000 af. 1013 4 1018 年 
1000 万 0. 02 秒 21 分 钟 4 天 700 年 1012 年 107 年 
1 亿 2 毫秒 2 分 钟 9 小 时 70 年 101! 年 1015 年 
10 亿 0. 2 eR 13 秒 1 小 时 7 年 To 10154 
100 亿 0. 02 毫秒 1 秒 5. 4 分 钟 245 天 10° $% 10! 4 
1000 亿 2 微 秒 0.1 秒 32 秒 24 天 10 年 1034 
1 万 亿 0. 2 微 秒 0. 01 b 3 秒 2. 4 天 107 年 1012 年 
10 万 亿 0. 02 微 秒 1 毫秒 0. 3 秒 6 小 时 10° 年 10!) 年 


对 于 56 位 密 钥 ， 穷 举 攻击 所 需 金额 对 很 多 大 公司 和 一 些 犯罪 组 织 来 说 还 是 可 以 承受 的 。 
对 于 64 位 密 钥 ， 则 只 有 一 些 发 达 国 家 的 军事 预算 才能 承受 。 而 破译 80 位 密 钥 现在 仍然 不 
行 ， 但 是 如 果 按 目前 的 形势 继续 发 展 下 去 ， 这 种 情况 将 会 在 30 年 内 发 生 改变 。 
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当然 ， 佑 计 未 来 35 年 计算 机 的 计算 能 力 是 很 可 笑 的 ， 一 些 科 幻 小 说 里 出 现 的 技术 罕 破 
可 能 会 觉得 上 述 预测 很 可 笑 。 相 反 ， 目 前 一 些 未 知 的 物理 限制 又 使 人 们 产生 不 切实 际 的 乐 
观 。 在 密码 学 中 翡 观 一 点 是 很 明知 的。 用 80 位 密 钥 的 加 密 算 法 是 一 种 目光 非常 短 浅 的 行为 ， 
还 是 坚持 用 至 少 112 位 的 密 钥 吧 。 

如 果 攻 击 者 想 要 不 择 手段 地 破译 一 个 密 钥 ， 他 们 必须 要 做 的 全 部 事情 就 是 花 钱 。 所 以 ， 
估计 密 钥 的 最 小 “价值 ”似乎 是 明智 的 : 在 试图 破译 一 个 有 经 济 价值 的 密 钥 之 前 ， 要 确信 它 
到 底 有 多 大 价值 呢 ? 举 个 极端 的 例子 ， 如 果 一 个 加 密 的 消息 仅 值 1. 39 美元 ， 那么 用 一 台 价 
值 1000 万 美元 的 破译 机 来 寻找 它 的 密 钥 在 经 济 上 就 毫 无 意义 了 。 另 一 方面 ， 如 果 明 文 消息 
值 1 亿美 元 ， 那 么 建造 一 台 破 译 机 破译 此 信息 是 值得 的 。 此 外 ， 有 些 消息 的 价值 会 随时 间 迅 
速 减少 。 


7.1.2 软件 破译 机 

没有 特殊 用 途 的 硬件 设备 和 大 规模 并 行 计算 机 ， 穷 举 攻击 很 难 有 效 地 工作 。 对 密码 系统 
的 软件 攻击 比 硬件 攻击 大 约 慢 1000 倍 。 

基于 软件 穷 举 攻击 的 真正 威胁 ， 并 非 是 它 的 确定 性 ， 而 是 它 的 “自由 性 ”。 装 配 一 台 微 
型 计算 机 来 测试 可 能 的 密 钥 ， 无 论 其 是 否 在 测试 都 不 涉及 成 本 问题 ， 如 果 能 找到 正确 的 密 
钥 一 一 那 太 好 了 ; 如 果 没 找到 ， 也 不 会 失去 什么 。 建 立 整个 这 样 的 微型 计算 机 网 络 同样 不 涉 
及 成 本 问题 。 最 近 一 次 对 DES 的 试验 ,在 一 天 内 用 了 40 个 工作 站 的 空闲 时 间 对 2”* 个 密 钥 
进行 测试 。 按 这 样 的 速度 ， 将 需要 400 万 天 来 测试 所 有 的 密 钥 ， 但 是 如 果 足 够 多 的 人 试 
图 像 这 样 破译 的 话 ， 总 有 某 个 人 会 在 某 处 交 上 好 运 。 文 献 [603] 中 这 样 写 道 : 


软件 威胁 的 关键 是 十 足 的 坏 运 气 。 设 想 一 个 具有 512 个 工作 站 的 大 学 计算 机 网 
络 ， 对 某 些 校园 来 说 这 是 一 个 中 等 规模 的 网 络 ， 它 们 甚至 可 以 遍及 世界 ， 通 过 电子 
邮件 来 协调 各 自行 动 。 假 设 每 个 工作 站 能 以 每 秒 加 密 15 000 次 的 速率 运行 ,考虑 
测试 和 更 换 密 钥 的 时 间 ， 则 每 台 每 秒 测试 8192 次 。 用 这 样 的 速度 测试 完 一 个 56 位 
密 钥 空间 将 需要 545 年 (假定 网 络 每 天 工作 24 小 时 )。 但 是 请 注意 ， 假 设 学 生 破 译 
者 进行 同样 的 计算 ， 他 们 在 一 天 内 破译 出 密 钥 的 机 会 是 1/200 000， 在 一 周 内 破译 
出 的 机 会 增加 到 1/66 000。 他 们 的 设备 越 先 进 ， 或 者 使 用 的 机 器 越 多 ， 成 功 的 机 会 
自然 就 越 大 。 这 种 概率 对 靠 赛 马 谋生 来 说 机 会 太 小 了 ， 但 在 某 些 情况 下 它 还 算 好 
的 ， 如 同 政府 的 博彩 中 奖 相 比 它 要 好 得 多 。“1/106?”“1000 年 能 发 生 一 次 吗 ?” 要 
简单 地 说 清楚 这 些 事 已 不 再 可 能 。 这 种 不 断 发 展 的 冒险 能 接受 吗 ? 


如 果 用 一 个 64 位 密 钥 来 替换 56 位 密 钥 ， 密 码 算法 的 破译 难度 要 大 256 倍 。 而 对 于 40 
位 的 密 钥 ,情况 就 远 比 这 简单 得 多 。 一 个 由 400 台 、 每 台 每 秒 能 加 密 32 000 次 的 计算 机 组 
成 的 网 络 ， 能 够 在 短 短 一 天 内 完成 对 40 位 密 钥 的 破译 (1992 年 ，40 位 密 钥 的 RC2 和 RC4 
算法 已 经 被 成 功 破译 了 一 一 参见 13. 8 节 )。 

对 128 位 密 钥 来 说 ， 进 行 穷 举 攻击 是 十 分 荒唐 的 。 工 业 专 家 估计 : 到 1996 年 ， 世 界 上 
将 有 2 亿 台 计算 机 在 运行 ， 这 种 估计 包括 从 巨大 的 Cray 大 型 机 到 笔记 本 电脑 在 内 的 计算 机 。 
如 果 所 有 的 这 些 计算 机 同时 进行 穷 举 攻击 ， 并 且 每 台 以 每 秒 100 万 次 的 加 密 速度 进行 ， 那 么 
破译 这 个 128 位 的 密 钥 也 需要 100 万 倍 宇宙 年 龄 的 时 间 才 能 成 功 。 
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7.1.3 神经 网 络 

神经 网 络 对 密码 分 析 来 说 并 不 是 非常 有 用 ， 这 主要 是 由 其 解 空间 的 模式 导致 的 。 神 经 网 
络 最 善于 处 理 那些 连续 解 的 问题 ， 这 些 解 比 另 一 些 更 好 。 这 就 允许 神经 网 络 学 习 并 在 学 习 中 
得 出 越 来 越 好 的 解 。 而 破译 密码 算法 并 没有 提供 太 多 学 习 “ 机 会 ”的 方法 : 你 要 么 找到 密 钥 
要 么 没有 “至少 对 稍微 好 的 算法 是 这 样 ) 。 神 经 网 络 适 用 于 那些 结构 化 环境 ， 那 里 一 些 东西 
必须 要 学 习 ， 而 在 信息 焙 很 高 、 随 机 性 非常 强 的 密码 学 领域 就 不 适用 了 。 


7.1.4 病毒 

让 数 以 百 万 台 计 算 机 放 在 一 起 进行 穷 举 攻击 所 遇 到 的 最 大 难题 是 说 服 这 些 计算 机 的 拥有 
者 同意 他 们 的 机 器 参与 。 你 会 有 礼貌 地 请 求 ， 但 那 是 浪费 时 间 ， 因 为 他 们 会 说 “不 ”你 也 
可 以 试图 侵占 他 们 的 机 器 ， 但 那 更 是 浪费 时 间 ， 你 还 可 能 被 捕 ; 你 还 可 以 利用 计算 机 病毒 来 
散布 攻击 程序 ， 以 更 加 有 效 地 覆盖 到 尽 可 能 多 的 计算 机 上 。 

这 是 在 文献 [1593] 中 首次 提 到 的 特别 有 趣 的 思想 。 攻 击 者 写 下 并 散布 计算 机 病毒 ， 这 
些 病毒 并 不 重新 格式 化 硬盘 驱动 器 和 删除 文件 ， 它 只 是 在 受 染 计算 机 的 空闲 时 间 处 理 穷 举 攻 
击 的 密码 分 析 问题 。 各 种 各 样 的 研究 已 表明 微型 计算 机 70 外 一 90%% 的 时 间 是 空闲 的 ， 于 是 
病毒 可 以 无 任何 阻碍 地 找到 时 间 来 完成 它 的 任务 。 如 果 它 是 良性 的 ， 在 它 发 作 的 时 候 甚 至 可 
能 逃 过 人 们 的 注意 。 

最 后 ， 某 个 机 器 也 会 偶然 碰 到 正确 的 密 钥 ， 此 时 有 两 条 路 可 以 选择 : 其 一 ， 攻 击 病毒 将 
引发 另 一 个 不 同 的 病毒 。 它 除了 复制 有 关 正 确 密 钥 的 信息 和 删除 攻击 病毒 留 下 的 其 他 信息 外 
不 做 任何 事情 。 然 后 ， 新 的 病毒 通过 计算 机 网 络 传播 ， 直 到 它 回 到 编写 原始 病毒 的 人 的 计算 
机 上 为 止 。 

其 二 ， 和 卑鄙 的 方法 将 是 病毒 在 屏幕 上 显示 以 下 信息 : 

本 机 中 有 严重 的 病毒 存在 ! 

WK 1-800-123-4567 并 且 读 入 下 面 的 64 位 数字 给 操作 人 员 : 
XXXX XXXX XXXX XXXX 

对 于 第 一 个 报告 该 病毒 的 人 给 予 100 美元 的 奖金 。 


这 种 攻击 的 有 效 性 有 多 大 呢 ? 假设 一 台 被 感染 了 病毒 的 计算 机 可 以 每 秒 测试 1000 个 密 
钥 ， 这 远 远 低 于 计算 机 的 最 大 潜力 ， 因 为 我 们 不 得 不 假设 它 会 干 其 他 事情 ， 我 们 也 假设 病毒 
感染 了 1000 万 台 机 器 ， 这 样 这 个 病毒 可 以 在 83 天 里 破译 一 个 56 位 密 钥 ， 在 58 年 内 破译 一 
个 64 位 密 钥 。 你 或 许 会 收买 抗 病毒 软件 的 制造 者 ， 但 那 是 你 们 的 问题 。 任 何 计 算 机 速度 或 
者 病毒 感染 速度 的 增长 必然 会 使 这 种 攻击 更 加 有 效 。 


7.1.5 中 国 式 抽 彩 法 


中 国 式 抽 彩 法 是 一 种 折 中 的 方法 ， 但 对 于 大 规模 并 行 密码 分 析 机 来 说 是 一 个 可 行 的 建 
BET) 。 设 想 一 种 用 于 穷 举 攻击 的 每 秒 有 百 万 次 测试 速度 的 破译 芯片 被 安装 在 每 台 收 音 机 与 
电视 机 中 售 出 ， 每 块 芯 片 在 通过 广播 收 到 一 对 明文 / 密 文 后 便 自 动 利 用 其 中 的 程序 检测 不 同 
的 密 钥 。 于 是 ， 每 当 想 要 破译 密 钥 时 ， 就 广播 这 个 数据 ， 这 时 所 有 的 收音 机 和 电视 机 便 开 始 
嘎 只 嘎 喀 地 开动 起 来 。 最 后 ， 正 确 的 密 钥 将 会 在 某 个 地 方 被 某 人 找到 ， 这 个 人 也 因此 得 到 抽 
彩 所 中 的 奖金 ， 这 样 就 确保 了 结果 会 有 迅速 而 正确 的 报告 ， 也 有 助 于 带 有 破译 芯片 的 收音 机 
和 电视 机 的 销售 。 
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如 果 中 国 每 个 成 年 男人 、 妇 女 和 小 孩 都 拥有 一 台 这 样 的 收音 机 或 电视 机 ， 那么 56 位 算 
法 的 正确 密 钥 在 61 秒 内 可 找到 。 如 果 仅 仅 1/10 的 中 国人 拥有 收音 机 或 电视 机 (这 更 接近 于 
现实 )， 正 确 的 密 钥 将 在 10 分 钟 内 找到 。64 位 算法 的 密 钥 将 在 4. 3 小 时 内 找到 。 如 果 1/100 
的 人 拥有 收音 机 或 电视 机 ， 则 需要 43 小 时 。 

为 了 使 攻击 能 付 诸 实际 ， 要 求 进行 一 些 修 改 。 首 先 ， 使 每 块 芯 片 测试 随机 的 密 钥 ， 而 不 
是 唯一 的 一 组 密 钥 将 会 更 加 容易 ， 这 样 将 使 攻击 减 慢 39% 左 右 一 一 从 目前 我 们 正 处 理 的 数 
字 来 看 这 并 不 算 多 。 如 果 每 一 个 人 都 在 测试 中 ， 最 后 有 人 就 在 其 “发 现 密 钥 ”的 灯 灭 了 时 要 
打 电 话 通报 这 个 结果 ， 然 后 读 出 出 现在 他 们 屏幕 上 的 一 串 数字 。 

K 7-2 显示 了 中 国 式 抽 彩 对 不 同 国家 和 不 同 长 度 密 钥 的 有 效 性 。 中 国 显 然 是 最 有 利于 实 
施 这 种 攻击 的 地 方 ， 但 他 们 不 得 不 使 每 一 个 人 都 拥有 电视 机 或 收音 机 。 美 国人 数 较 少 ， 但 有 
多 得 多 的 设备 。 怀 俄 明 州 能 够 在 不 到 一 天 之 内 破译 一 个 56 位 的 密 钥 。 

表 7-2 使 用 中 国 式 抽 彩 的 穷 举 攻击 估计 





























破译 时 间 
国家 /地 区 AG 电视 和 收音 机 数 
56 位 64 位 
中 国 1 190 431 000 257 000 000 280 Rb 20 小 时 
美国 260 714 000 739 000 000 97 fb 6. 9 小 时 
伊拉克 19 890 000 4 730 000 4. 2 小 时 44 天 
以 色 列 5 051 000 3 640 000 5.5 小 时 58 天 
美国 怀俄明 州 470 588 1 330 000 15 小 时 160 天 
美国 内 华 达 州 温 尼 马 卡 6 100 17 300 48 K 34 年 











iż: 所 有 数据 摘自 《1995 World Almanac and Book of Facts), 


7.1.6 生物 工程 技术 


如 果 生 物 蕊 片 是 可 能 的 ， 那 么 不 用 它 作 为 分 布 式 穷 举 攻击 密码 分 析 工 具 将 是 思春 的 。 考 
虑 一 种 假想 的 动物 ， 很 不 幸 地 称 它 为 DESosaur"* 引 。 它 由 能 够 检验 可 能 密 钥 的 生物 细胞 组 
成 ,这些 生物 细胞 可 以 通过 光学 通道 接收 明文 / 密 文 对 (细胞 是 透明 的 ， 你 可 以 看 见 )。 而 密 
钥 解 则 通过 生物 体内 的 特殊 细胞 经 由 循环 系统 送 到 DESosaur 的 发 音 器 官 。 

典型 的 丽 龙 古生物 具有 10* 个 细胞 (包括 细菌 )， 如 果 它 们 每 秒 能 完成 100 万 次 加 密 
(应 该 承认 ， 这 是 一 个 大 的 假设 )， 那 么 破译 一 个 56 位 的 密 钥 需要 7/10 000 秒 ， 破 详 一 个 64 
位 的 密 钥 少 于 1/5 秒 的 时 间 ， 但 破译 一 个 128 位 的 密 钥 仍 需 10" 年。 

另 一 种 生物 方法 是 利用 遗传 密码 分 析 海苔， 它 能 够 完成 对 密码 算法 的 穷 举 攻击 5 。 这 
些 生物 体 使 制造 多 处 理 器 的 分 布 式 机 器 成 为 可 能 ， 因 为 他 们 能 够 覆盖 很 大 的 区 域 。 每 个 明文 / 
密 文 对 可 以 通过 卫星 广播 。 如 果 一 个 生物 体 找到 了 结果 ， 它 附近 的 细胞 将 改变 颜色 并 把 结果 
传 回 卫星 。 

假设 典型 的 海藻 细胞 大 小 为 10? 立方 微米 (这 或 许 是 一 个 大 的 估计 )， 那 么 10” 个 可 占 
据 1 立方 米 ， 把 它们 放 入 海洋 ,覆盖 深 1 米 的 200 平方 英里 (518 平方 公里 ) 的 海水 (你 可 
以 考虑 怎样 做 到 这 点 一 一 我 只 是 出 主意 的 人 )， 这 样 将 有 10% 个 海藻 漂浮 在 海洋 中 〈 超 过 了 
1000 亿 加 仓 的 石油 )。 如 果 它 们 中 的 每 一 个 每 秒 能 够 尝试 100 万 个 密 钥 ， 那 么 它们 得 花 超 过 
100 年 的 时 间 才 能 破译 128 位 的 密 钥 (让 海藻 处 于 繁荣 期 是 一 个 问题 )， 不 管 海藻 处 理 速 度 、 
海藻 直径 ,或 者 能 够 在 海洋 中 扩散 的 区 域 的 大 小 ， 其 中 任何 一 个 取得 突破 ， 都 将 有 效 地 减少 
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请 不 要 问 我 有 关 纳 诺 技术 的 问题 。 


7.1.7 热力 学 的 局 限 性 

热力 学 第 二 定律 的 结论 是 : 信息 的 表达 需要 一 定 的 能 量 。 通 过 改变 系统 的 状态 ， 记 录 单 
独 的 1 位 所 需要 的 能 量 不 少 于 AT， 其 中 了 工 表示 系统 的 绝对 温度 ，& 是 波 耳 兹 曼 常数 。 (依靠 
我 ， 物 理 课 程 几乎 就 结束 了 。) 

假定 &=1.38* 10 “erg/K， 守 和 宙 的 环境 温度 为 3.2K， 那 么 在 此 温度 下 运行 的 计算 机 每 
设置 或 清除 1 位 将 消耗 4. 4 x 10 “erg 的 能 量 。 在 比 宇宙 辐射 温度 低 的 环境 中 运行 一 台 计 算 
机 将 需要 附加 的 能 量 来 运行 热泵 。 

目前 ， 太 阳 每 年 辐射 出 的 能 量 约 为 1. 21 x 10"erg， 该 能 量 足 以 使 理想 的 计算 机 上 的 2.7 
* 10 ”个 单独 位 发 生 改 变 ， 也 足以 使 一 个 187 位 计算 器 中 的 所 有 状态 值 发 生 改 变 。 如 果 绕 太 
阳 建 造 一 个 Dyson 球 ， 并 且 让 它 一 点 也 不 少 地 吸收 32 年 的 能 量 ， 那 么 我 们 就 能 使 一 台 计 算 
机 的 能 量 增加 到 2”。 当 然 ， 它 不 会 让 能 量 剩余 ， 以 便 计算 器 完成 任何 有 用 的 计算 。 

但 是 ， 这 仅仅 是 一 颗 星 体 ， 所 有 星体 中 很 渺小 的 一 颗 。 一 颗 典 型 的 超新星 释放 的 能 量 可 
达 10 erg (〈 约 是 能 量 以 微 中 子 形式 释放 的 100 倍 ， 还 得 现在 就 开始 ) 。 如 果 所 有 这 些 能 量 被 
用 于 运算 ， 那么 一 个 219 位 的 计算 器 会 循环 其 所 有 的 状态 值 。 

这 些 数字 与 设备 的 技术 性 能 无 关 ， 它 只 是 热力 学 允许 的 最 大 值 。 所 以 我 们 可 以 断言 : 对 
256 位 的 密 钥 进行 穷 举 攻击 是 绝对 行 不 通 的 ， 除 非 在 超 空 间 里 用 超 物质 制造 计算 机 。 


7.2 公开 密 钥 长 度 

2.3 市 中 已 经 讨论 了 单 向 函数 。 例 如 ， 两 个 大 素数 进行 相 乘 就 是 一 个 单 向 函数 ， 得 到 相 
乘 的 结果 很 容易 ， 但 是 由 这 个 结果 分 解 得 到 两 个 素数 却 非常 困难 (参见 11. 3 节 )。 公 开 密 码 
系统 就 是 利用 这 种 思想 做 成 单 向 陷 门 函数 。 实 际 上 ， 那 不 过 是 一 个 谎言 ， 因 子 分 解 被 推测 是 
一 个 难题 (参见 11. 4 节 )。 众 所 周知 ， 它 似乎 是 这 样 。 如 果 它 的 确 是 ， 也 没有 人 能 够 证 明 难 
题 就 真 的 很 难 。 大 多 数 人 都 假定 因子 分 解 是 困难 的 ， 但 它 从 来 没有 被 从 数学 上 证 明 过 。 

还 有 必要 再 嚼 味 一 点 。 不 难 想象 50 年 后 的 情形 ， 人 们 围 坐 在 一 起 ， 兴 致 勃勃 地 谈论 着 
过 去 的 美好 时 光 : 那 时 候 ， 人 们 习惯 于 认为 因子 分 解 是 难 的 ， 密 码 术 正 基于 这 种 难度 ， 而 公 
司 实际 上 依靠 这 种 素材 大 赚 其 钱 。 也 可 以 很 容易 地 设想 到 ， 未 来 在 数论 方面 的 发 展 使 因子 分 
解 更 加 容易 或 者 复杂 度 定理 的 发 展 使 因子 分 解 变 得 毫 无 意义 。 没 有 理由 相信 这 会 发 生 〈 并 且 
大 多 数 懂得 很 多 而 有 主见 的 人 也 会 告诉 你 这 是 不 可 能 的 )， 但 是 也 没有 什么 理由 相信 它 不 会 
发 生 。 

无 论 怎样 ,今天 主要 的 公开 密 钥 加 密 算法 都 是 基于 分 解 一 个 大 数 的 难度 ， 这 个 大 数 一 般 
是 两 个 大 素数 的 乘积 。( 其 他 一 些 算法 基于 称 为 离散 对 数 问题 的 东西 ， 这 里 我 们 做 相同 的 讨 
论 .) 这 些 算法 也 会 受到 穷 举 攻击 的 威胁 ， 只 不 过 方式 不 同 。 破 译 它们 的 出 发 点 并 不 是 穷 举 
所 有 的 密 钥 进行 测试 而 是 试图 分 解 那个 大 数 (或 者 在 一 个 非常 大 的 有 限 域内 取 离 散 对 数 一 一 
一 个 类 似 的 问题 ) 。 如 果 所 取 的 数 太 小 ， 那 么 就 无 安全 可 言 。 如 果 所 取 的 数 足够 大 ， 则 会 非 
常安 全 : 集中 世界 上 所 有 的 计算 机 力量 从 现在 开始 工作 直到 太阳 变 成 一 颗 新 星 为 止 都 不 能 奈 
何 它 当然 是 基于 目前 对 数学 的 理解 。11. 3 节 更 注重 数学 细节 ， 讨 论 了 大 数 因子 分 解 的 
有 关 问 题 ， 这 里 仅 讨 论 分 解 不 同 长 度 的 数 需要 花费 多 长 时 间 。 

对 大 数 进行 因子 分 解 是 困难 的 。 不 幸 的 是 ， 对 算法 设计 者 来 说 它 正 变 得 越 来 越 容 易 。 
更 加 糟糕 的 是 ， 它 比 数 学 家 所 希望 的 还 快 。1976 年 ，Richard Guy 写 道 : “本 世纪 内 如 果 
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有 人 不 采用 特殊 的 方式 成 功 地 对 10% 大 小 的 数 进行 因子 分 解 的 话 那 我 将 非常 地 惊讶 !” 
1977 年 ，Ron Rivest 说 过 分 解 一 个 125 位 〈 十 进 制 ) 的 数据 需要 40 x 10 48", APE, 
一 个 129 位 的 数据 在 1994 年 被 成 功 分 解 。 如 果 有 什么 教训 的 话 ， 那 就 是 做 出 预言 将 是 很 
REK. 

表 7-3 列 出 了 过 去 10 年 有 关 因 子 分 解 的 记录 。 其 间 ， 最 快 的 分 解 算 法 是 二 次 筛选 法 
(参见 11. 3 49). 


表 7-3 使 用 二 次 筛选 算法 进行 因子 分 解 











位 数 ERD 分解 512 位 数据 的 难度 
1983 res >20 000 000 


年 度 位 数 〈 十 进 制 ) 分解 512 位 数据 的 难度 
1989 100 30 000 











1985 80 之 2 000 000 1993 120 500 





90 250 000 = 1994 





100 


这 些 数据 是 触目 惊 心 的 。 今 天 已 经 很 不 容易 看 到 512 位 的 数据 在 操作 系统 中 使 用 了 ， 因 
为 对 这 些 数据 进行 因子 分 解 并 危及 系统 的 安全 ， 是 非常 可 能 的 : 因特网 上 的 蠕虫 可 在 一 个 周 
完成 。 

计算 机 的 计算 能 力 是 以 mips-year 来 衡量 的 ， 即 每 秒 百 万 条 指令 的 计算 机 运行 一 年 ， 或 
KRHA 3 x 10" 条 指令 。 根 据 约定 ,一 台 1 mips 的 计算 机 就 等 同 于 一 台 DEC VAX 11/780。 因 
此 ，1 mips-year 就 相当 于 一 台 VAX 11/780 运行 一 年 ， 或 等 同 的 机 器 。 (一 台 Pentium 100 
计算 机 大 约 是 50 mips， 而 一 台 1800-node Intel Paragon 机 器 则 是 50 000 mips。) 

1983 年 对 一 个 有 71 位 的 数据 进行 因子 分 解 需 要 0. 1 mips-year，1994 年 对 一 个 129 位 的 
数据 进行 因子 分 解 则 需要 5000 mips-year。 计 算 能 力 这 一 令 人 激动 的 增长 很 大 程度 上 归功 于 
分 布 式 计算 的 引入 : 利用 网 络 上 工作 站 的 空闲 时 间 。 这 一 趋势 是 由 Bob Silverman 发 起 并 由 
Arjen Lenstra 和 Mark Manasse 大 力 发 展 的 。1983 年 因子 分 解 在 一 台 单 独 的 Cray X-MP 机 
器 上 使 用 了 9. 5 小 时 ，1994 年 因子 分 解 却 耗费 了 5000 mips-year 和 全 球 范 围 内 1600 台 计 算 
机 将 近 8 个 月 的 空 亲 时间。 可 见 ， 现 代 的 因子 分 解 从 这 种 分 布 式 应 用 中 大 受 其 益 。 

情况 变 得 更 粳 了 。 一 种 新 的 因子 分 解 算法 取代 了 二 次 筛选 法 : 一 般 数 域 筛选 法 。1989 
年 数学 家 会 告诉 你 一 般 数 域 筛选 法 永远 不 会 行 得 通 。1992 年 他 们 又 说 一 般 数 域 筛 选 是 可 行 
的 ， 但 是 它 仅 仅 当 被 分 解 的 数 大 于 130 一 150 位 〈 十 进 制 ) 时 才 比 二 次 筛选 法 快 。 可 是 今天 ， 
众所周知 ， 对 于 小 于 116 位 的 数 ， 一 般 数 域 筛 选 法 也 快 得 多 " ”5 。 同 时 分 解 一 个 512 位 的 
数 ， 一 般 数 域 筛选 法 比 二 次 筛选 法 快 10 倍 。 在 一 台 1800-node Intel Paragon 机 器 上 运行 该 
算法 只 需要 不 到 一 年 的 时 间 。 表 7-4 给 出 了 应 用 该 算法 对 一 系列 不 同 大 小 的 数 进行 因子 分 解 


所 需 的 mips-yeart "|，。 


表 7-4 利用 一 般 数 域 筛选 法 进行 因子 分 解 








进行 因子 分 解 所 需 的 mips-year 
512 30 000 


进行 因子 分 解 所 需 的 mips-year 
1280 1x10! 








768 2* 108 1536 3s 10 


3% 10! 3 * 107 





然而 ， 一 般 数 域 分 解法 的 速度 仍 在 加 快 ， 数 学 家 努力 紧 跟 这 些 新 技巧 、 新 优化 和 新 技 
术 ， 现 在 还 没有 任何 理由 认为 这 种 趋势 不 会 继续 。 与 其 相关 的 一 个 算法 : 特殊 数 域 筛选 法 ， 
现在 已 经 能 够 分 解 一 些 特殊 形式 的 数 〈 一 般 并 不 用 于 密码 分 析 )， 其 速度 比 一 般 数 域 筛选 法 
还 要 快 。 假 定 一 般 数 域 筛选 法 优化 后 也 能 做 得 这 样 快 是 不 无 道理 的 ,或许 NSA 已 经 知道 怎 
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样 做 。 表 7-5 给 出 了 用 特殊 数 域 第 选 法 进行 因子 分 解 的 mips-year 


表 7-5 利用 特殊 数 域 筛选 法 因子 分 解 
位 进行 因子 分 解 所 需 的 mips-year 





位 进行 因子 分 解 所 需 的 mips-year 

512 <200 1280 3 * 10° 
768 100 000 1536 2 10!" 
1024 3 * 10? 2048 4 x 10! 





1991 年 在 欧洲 系统 安全 研究 所 的 一 个 实验 室 里 ， 参 与 者 一 致 认为 一 个 1024 位 的 模 数 可 
以 足够 保密 到 2002 年 。 然 而 ， 他 们 又 警告 说 :“ 尽 管 实 验 室 的 参与 者 在 各 自 的 领域 中 都 
有 很 高 的 资格 ， 但 是 对 这 些 声明 (关于 安全 的 持续 性 ) 要 提高 警惕 .” 这 是 一 个 好 建议 。 

在 选择 公开 密 钥 长 度 时 ， 明 智 的 密码 人 员 应 该 是 极端 的 保守 主义 者 。 为 了 断定 所 需要 的 
密 钥 有 多 长 ， 你 必须 考虑 想 要 的 安全 性 和 密 钥 的 生命 周期 ， 并 了 解 当前 因子 分 解 的 发 展 水 
平 。 今 天 使 用 1024 位 长 的 数 仅 能 获得 20 世纪 80 年 代 初 期 512 位 的 安全 性 。 如 果 你 希望 你 
的 密 钥 能 够 保持 20 年 的 安全 ， 那 么 1024 位 似乎 太 短 了 。 

即使 你 的 特殊 安全 性 并 不 值得 花 力 气 对 模 数 进行 因子 分 解 ， 但 仍然 处 于 危险 中 。 设 想 用 
RSA 加 密 的 自动 银行 系统 吧 。Mallory 站 在 法 庭 上 大 声 说 : “难道 你 没 读 报 ，1994 年 RSA- 
129 就 已 经 被 破译 ， 任 何 组 织 只 要 花 上 儿 百 万 美元 等 上 几 个 月 就 能 将 512 位 的 数 分 解 吗 ? 我 
的 银行 就 是 使 用 512 位 的 数 进行 保密 的 ， 顺 便 说 一 下 ， 我 并 没有 不 断 地 撤销 更 换 。” 即 使 他 
在 撒谎 ， 法 官 也 会 责令 银行 证 实 。 

为 什么 不 用 10 000 位 的 密 钥 呢 ? 可 以 用 ， 但 你 必须 为 密 钥 变 长 所 需 的 计算 时 间 付 出 代 
价 。 通 常 ， 你 既 想 密 钥 足够 长 又 想 计算 所 需 的 时 间 足 够 短 。 

在 本 节 的 开始 时 我 就 说 过 做 出 预测 是 思春 的 。 但 是 现在 我 也 预测 一 些 。 表 7-6 给 出 了 公 
开 密 钥 多 长 才 安 全 的 一 些 忠 告 。 其 中 ， 每 年 列 出 了 三 个 密 钥 长 度 ， 分 别针 对 个 人 、 大 公司 和 
政府 。 


表 7-6 ”公开 密 钥 长 度 的 推荐 值 〈 位 ) 





年 度 对 于 个 人 对 于 公司 对 于 政府 
1995 768 1280 1536 
2000 1024 1280 1536 
2005 1280 1536 2048 
2010 1280 1536 2048 
2015 1536 2048 2048 


下 面 是 摘自 文献 [66」 的 一 些 假设 : 


我 们 相信 能 够 获得 10 万 台 没有 超人 的 或 缺乏 职业 道德 能 力 的 机 器 。 也 就 是 说 ， 
我 们 绝对 不 会 释放 任何 因特网 蠕虫 或 病毒 为 我 们 寻求 资源 。 很 多 组 织 都 有 几 千 台 计 
算 机 在 网 上 。 充 分 利用 这 些 设备 的 确 需 要 很 有 技术 性 的 外 交 能 力 ， 但 不 是 不 可 能 
的 。 假 定 平均 计算 能 力 是 5 mips， 那 么 一 年 的 时 间 就 能 从 事 一 项 需要 50 万 mips- 
year 的 工程 。 
对 129 位 的 数 进行 因子 分 解 这 样 一 个 工程 估计 需要 整个 因特网 计算 能 力 的 0. 03 %00, 


这 不 会 令 它 感到 困难 。 假 定 一 个 非常 引 人 注 意 的 工程 需要 花 一 年 时 间 使 用 全 球 2% 的 计算 力 
量 并 非 不 可 理解 。 
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假设 一 个 专注 的 密码 分 析 家 能 得 到 10° mips-year 的 计算 能 力 ， 一 个 大 公司 能 得 到 10 mips- 
year， 并 且 政 府 能 得 到 10° mips-year。 同 时 假定 计算 机 的 计算 能 力 每 5 年 增长 10 倍 。 最 后 假定 
数学 领域 因子 分 解 的 进步 能 够 让 我 们 以 特殊 数 域 筛选 法 的 速度 分 解 一 个 一 般 的 数 〈 然 而 这 古 不 
可 能 的 ， 但 话 又 说 回来 ， 技 术 突破 随时 可 能 发 生 )。 表 7-6 推荐 了 不 同年 份 不 同 的 安全 密 钥 
长 度 。 

一 定 要 记 住 需 考虑 密 钥 的 价值 。 公 开 密 钥 经 常用 来 加 密 那 些 时 间 长 、 价 值 大 的 东西 : 银 
行 顾 客 用 于 数字 化 取款 系统 的 密 钥 ， 政 府 用 于 检验 其 护照 的 密 钥 ， 以 及 公证 人 的 公开 数字 签 
名 密 钥 。 或 许 并 不 值得 花 上 几 个 月 的 计算 机 时 间 对 一 个 私人 密 钥 进行 攻击 ， 但 如 果 你 能 用 一 
个 破译 的 密 钥 印 制 自 己 的 钞票 ， 那 么 它 就 非常 吸引 人 了 。 一 个 1024 位 的 密 钥 足以 作为 那些 
用 一 个 星期 或 一 个 月 ， 甚 至 几 年 才 验 证 的 东西 的 签名 。 但 是 你 并 不 想 拿 着 一 份 数字 签名 的 文 
件 从 现在 开始 在 法 庭 上 站 上 20 年 ， 并 且 不 断 让 对 手 演示 如 何 用 相同 的 签名 伪造 文件 。 

对 更 远 的 未 来 进行 预测 会 更 加 愚蠢 。 谁 能 知道 2020 年 计算 机 、 网 络 、 数 学 等 方面 发 展 
成 什么 样 ? 然而 ， 如 果 你 看 得 更 远 点 ， 你 就 会 发 现 每 个 年 代 分 解数 的 长 度 是 上 个 十 年 的 一 
倍 。 这 引出 了 表 7-7。 


表 7-7 对 未 来 因子 分 解 的 预测 








年 度 密 钥 长 度 〈 位 ) 年 度 密 钥 长 度 (位 ) 
1995 1024 2025 8192 
2005 2048 2035 16 384 
2015 4096 2045 32 768 





男 一 方面 ,分解 技术 可 能 在 2045 年 之 前 就 达到 它 的 极限 值 。 从 现在 起 的 20 年 里 我 们 可 
以 分 解 任何 的 数 。 尽 管 如 此 ， 我 认为 未 必 。 

不 是 每 个 人 都 同意 我 的 推荐 。NSA 指定 将 512 一 1024 位 的 密 钥 作为 数字 签名 标准 (CB 
见 20. 1 节 ) 一 一 远 远 低 于 我 所 推荐 的 长 期 安全 的 数值 ，Pretty Good Privacy (参见 24. 12 
节 ) 使 用 了 最 大 长 度 的 RSA HH 2047 位 。Arjen Lenstra， 世 界 上 最 成 功 的 因子 分 解 专 
家 ， 在 过 去 10 年 里 拒绝 做 出 预测 中。 表 7-8 给 出 了 Ron Rivest 对 密 钥 长 度 的 建议 值 ， 它 们 
最 早 是 1990 年 做 出 的 ， 但 我 却 认为 太 乐 观 了 '**。 当 他 的 分 析 在 纸 面 上 看 来 非常 合理 时 ， 
最 新 的 历史 却 展示 了 令 人 惊奇 的 事 正 有 规律 地 发 生 着 。 这 对 你 在 选择 密 钥 后 ， 面 对 未 来 的 
“惊奇 ”重新 保持 沉默 是 非常 有 意义 的 。 


表 7-8 Rivest 乐观 的 密 钥 长 度 推 荐 值 〈 位 ) 








年 度 较 小 值 平均 值 较 大 值 
1990 398 515 1289 
1995 405 542 1399 
2000 422 572 1512 
2005 439 602 1628 
2010 455 631 1754 
2015 472 661 1884 
2020 489 677 2017 


25 000 美元 的 预算 ， 使 用 二 次 筛选 算法 ， 每 年 的 技术 进步 为 20%， 这 是 较 低 的 估计 ; 
25 000 000 美 元 的 预算 ， 使 用 一 般 数 域 筛选 法 ， 每 年 33% 的 技术 进步 ,这 是 一 般 的 估计 ; 而 较 高 
的 估计 是 预算 为 25 亿美 元 ， 使 用 一 般 二 次 筛选 法 运行 在 特殊 数 域 筛选 法 的 速度 下 ， 每 年 有 45% 
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的 技术 进步 。 
一 直 有 这 样 一 种 可 能 性 存在 ， 那 就 是 因子 分 解 方面 的 进步 同样 令 我 吃惊 ， 但 归 因 于 我 的 
计算 。 但 是 为 什么 要 相信 我 呢 ? 我 也 只 是 通过 预测 证 明了 我 的 思春 。 


7.2.1 DNA 计算 法 

现在 的 情况 正 变 得 不 可 思议 。1994 年 ，Leonard M. Adleman 在 一 个 生物 化 学 实验 室 里 
竟然 演示 了 NP 完全 问题 的 解决 方法 (参见 11.2 节 )， 他 用 DNA 分 子 链 描述 对 该 问题 解 的 
HEW, Adleman 所 解决 的 问题 是 引 向 单 向 汉密尔顿 路 径 问 题 的 一 个 实例 。 单 向 汉密尔顿 
路 径 问 题 是 指 ， 给 定 一 张 有 关 城 市 的 地 图 ， 其 中 这 些 城 市 由 单 向 马路 连接 ， 要 求 在 地 图 上 找 
到 一 条 从 城市 A 到 城市 Z 而 恰恰 仅 一 次 通过 所 有 城市 的 路 径 。 在 Adleman 的 演示 中 ,每 一 
个 城市 由 一 系列 不 同 的 随机 的 20 基点 的 DNA 链表 示 ， 用 传统 的 微生物 技术 ，Adleman 综 
合 处 理 了 50 皮 摩 尔 〈 相 当 于 3 * 10 个 分 子 ) AY DNA 链 。 每 一 条 路 径 也 是 由 一 个 20 基点 的 
DNA 链表 示 ， 但 这 些 DNA 链 并 不 是 随机 选取 的 ，Adleman 聪明 地 选择 它们 以 使 表示 每 条 
路 径 (如 路 径 PK) W DNA 链 的 开始 端 连 到 该 路 径 的 起 始 城市 (如 P 的 DNA 链 ， 而 其 尾 
部 则 连 到 终止 城市 (如 K). 

Adleman 使 用 了 50 皮 摩 尔 的 DNA 链表 示 每 一 条 路 径 ， 再 用 一 条 表示 所 有 城市 的 DNA 
链 将 它们 混合 在 一 起 ， 然 后 加 入 一 种 捆绑 了 醇 素 使 所 有 DNA 分 子 的 尾部 相连 。 醇 素 利 用 
DNA 路 径 和 DNA 城市 之 间 非 常 技 巧 的 关系 把 各 个 表示 路 径 的 DNA 链 连接 成 了 一 个 正当 的 
模式 。 也 就 是 ， 路 径 PK 的 “出 ” 端 连接 到 了 始 于 城市 K 的 所 有 路 径 的 “入 ” 端 ， 而 不 是 其 
他 路 径 的 “出 ” 端 或 始 于 其 他 城市 的 那些 路 径 的 “入 ” 端 。 这 些 混 合 物 经 过 一 段 时 间 的 反应 
(时 间 是 精心 计算 的 )， 酵 素 会 生产 大 量 的 DNA 链 ， 这 些 DNA 链 就 表示 地 图 上 合法 的 但 随 
机 的 多 路 路 径 。 

在 所 有 的 路 径 中 ，Adleman 可 以 观察 到 最 细微 的 痕迹 其 至 单个 分 子 )， 该 痕迹 表示 该 
问题 解 的 DNA 链 。 利 用 微生物 学 的 一 般 技 术 ， 他 丢弃 那些 表示 路 径 过 长 或 过 短 的 DNA 链 
(在 所 希望 得 到 的 路 径 中 ， 路 径 的 数目 应 该 等 于 城市 的 个 数 减 1)。 接 着 ， 他 依次 丢弃 那些 不 
经 过 城市 A，B，…，2Z 的 DNA 链 。 如 果 最 后 某 个 DNA 链 “ 幸 在”， 那 么 就 检测 它 以 找到 
它 所 表示 的 路 径 序 列 ， 这 就 是 单 向 汉密尔顿 路 径 问 题 。 

根据 定义 ， 任 何 NP 完 全 (NP-comlete) 问题 的 一 个 实例 都 可 以 在 多 项 式 时 间 里 变换 成 
其 他 NP 完全 问题 的 一 个 实例 ， 当 然 也 可 以 转换 成 单 向 汉密尔顿 问题 的 一 个 实例 。 从 20 世 
纪 70 年 代 开 始 ， 密 码 学 家 才 尝 试 将 NP 完全 问题 用 于 公开 密 钥 密码 系统 中 。 

由 于 Adleman 解决 的 这 个 实例 非常 “朴素 ”( 地 图 上 仅 有 7 个 城市 ， 用 眼睛 观察 也 不 过 几 
分 钟 就 能 解决 )， 这 项 技术 还 处 于 初期 ， 并 且 在 发 展 上 没有 太 大 的 障碍 。 所 以 ， 有 关 基 于 NP 
完全 问题 的 密码 协议 的 安全 性 讨论 到 目前 为 止 才 开始 。 “假定 破译 者 有 100 万 个 处 理 器 ， 每 个 
处 理 器 每 秒 能 测试 100 万 次 ”， 或 许 很 快 就 被 改 成 “假定 破译 者 有 1000 个 发 酵 桶 ， 每 个 发 酵 桶 
有 20 000 升 的 容量 ”。 


7.2.2 量子 计算 法 

现在 ,已 经 更 不 可 思议 了 。 量 子 计算 法 的 基本 原理 就 是 爱 因 斯 坦 的 波 粒 二 象 性 ， 光子 可 
以 同时 存在 于 多 种 状态 。 一 个 典型 的 例子 就 是 ， 当 光照 射 到 银白 色 的 镜面 时 ， 它 会 有 波 一 样 
的 特性 ， 既 可 以 反射 也 可 以 传播 ， 就 像 波浪 撞击 一 堵 带 有 缺口 的 防波堤 ， 有 的 会 翻 回去 ， 有 
的 却 可 以 穿 过 去 。 然 而 对 光子 进行 测量 时 它 又 表现 出 粒子 的 特性 ， 有 一 个 唯一 的 可 被 测量 饶 
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在 文献 [1143] 中 ，Peter Shor 阐述 了 一 个 基于 量子 力学 的 因子 分 解 机 器 的 设计 模型 。 
与 一 般 的 计算 机 在 某 一 特定 时 刻 可 以 认为 有 一 个 固定 的 状态 不 同 ， 量 子 计 算 机 有 一 个 内 部 波 
动 函 数 ， 这 个 函数 是 所 有 可 能 基 状 态 的 联合 重合。 计算 机 在 单 步 运算 中 通过 改变 整套 的 状态 
值 来 改变 波动 函数 。 在 这 种 意义 上 ， 量 子 计算 机 是 基于 经 典 的 有 限 状 态 机 改进 而 成 的 : 它 利 
用 量子 特性 允许 在 多 项 式 时 间 里 进行 因子 分 解 。 理 论 上 可 以 用 来 破译 基于 大 数 分 解 或 离散 对 
数 问题 的 密码 系统 。 

与 论 一 致 认为 ， 量 子 计算 机 与 基本 量子 力学 定理 是 可 以 和 谐 共 存 的 。 然而， 在 可 预见 的 
未 来 制造 出 一 台 量 子 因 子 分 解 机 基本 上 是 不 可 能 的 。 最 大 的 障碍 是 非 连贯 性 问题 ， 因 为 它 容 
易 导 致 玛 加 后 的 波形 丢失 某 些 特性 ， 从 而 使 计算 失败 。 非 连贯 性 会 使 运行 在 LK 温度 下 的 计 
算 机 仅 1 纳 秒 后 就 死机 。 另 外 ， 制 造 一 台 量 子 因 子 分 解 设备 需要 超大 量 的 逻辑 门 ， 这 使 得 制 
造 它 不 太 可 能 。Shor 的 设计 需要 一 部 完整 的 模 取 宕 计算 机 。 由 于 没有 内 部 时 钟 ， 所 以 数 以 
千 万 计 甚至 数 以 亿 计 的 独立 门 用 于 分 解密 码 上 非常 大 的 数 ， 如 果 ”个 量子 门 有 很 小 的 错误 概 
率 p， 则 每 成 功 运行 一 次 所 需 实验 的 次 数 就 是 (1/(1 一 p))”。 假 定量 子 门 的 数目 按 被 分 解数 
WKE M) 呈 多 项 式 增加 ， 那 么 实验 次 数 将 随 该 长 度 呈 超级 指数 增长 一 一 这 比 用 试 除法 进 
行 分 解 还 要 糟糕 ! 

所 以 ， 虽 然 量 子 因子 分 解法 在 学 术 上 非常 令 人 兴奋 ， 但 它 在 不 远 的 将 来 被 用 于 实践 却 是 
不 可 能 的 。 别 说 我 没有 提醒 你 ! 


7.3 对 称 密 钥 和 公开 密 钥 长 度 的 比较 

一 个 系统 往往 是 在 其 最 弱 处 被 攻击 。 如 果 你 同时 用 对 称 密 钥 算 法 和 公开 密 钥 算法 设计 一 
个 系统 ， 那 么 你 应 该 好 好 选择 每 一 种 算法 的 密 钥 长 度 ， 使 它们 被 不 同方 式 攻击 时 有 同样 的 难 
度 。 同 时 使 用 128 位 的 对 称 密 钥 算法 和 386 位 的 公开 密 钥 算法 将 毫 无 意义 ， 就 如 同 使 用 56 
位 的 对 称 密 钥 算法 和 1024 位 的 公开 密 钥 算法 一 样 。 

表 7-9 列 出 了 一 系列 攻击 难度 相同 的 对 称 密 钥 和 公开 密 钥 长 度 。 


表 7-9 能 阻止 穷 举 攻击 的 对 称 和 公开 密 钥 密码 的 密 钥 长 度 








对 称 密 钥 长 度 公开 密 钥 长 度 对 称 密 钥 长 度 公开 密 钥 长 度 
56 位 384 位 112 位 1792 位 
64 位 512 位 128 位 2304 位 
80 位 768 位 





该 表 说 明 ， 如 果 你 认为 对 称 密 钥 算法 的 密 钥 长 度 必 须 112 位 才 安全 ， 那 么 你 的 公开 密 铀 
算法 的 模 数 就 是 1792 位 。 尽 管 如 此 ， 一 般 而 言 你 应 该 选择 比 对 称 密 钥 算 法 更 安全 的 公开 密 
钥 长 度 ， 因 为 公开 密 钥 算 法 通常 持续 时 间 长 ， 且 保护 更 多 的 信息 。 


7.4 对 单 向 散 列 函数 的 生日 攻击 

对 单 向 散 列 函数 有 两 种 穷 举 攻击 的 方法 。 第 一 种 最 明显 : 给 定 消息 的 散 列 函数 HM) ， 
破译 者 逐个 创建 其 他 文件 M' ， 以 使 HM) = HM) ; 第 二 种 攻击 方法 更 巧妙 : 攻击 者 寻 
找 两 个 随机 消息 : M 、M' ， 并 使 HM) = HCM') ， 这 就 是 所 谓 的 冲突 〈collision) 攻击 ， 
它 比 第 一 种 方法 容易 。 

生日 悖 论 是 一 个 标准 的 统计 问题 。 房 子 里 应 有 多 少 人 才 有 可 能 使 至 少 一 个 人 与 你 生日 相 


第 7 章 BAKE . 119 


E? 答案 是 253。 既 然 这 样 ， 那 么 应 该 有 多 少 人 才能 使 他 们 中 至 少 两 个 人 的 生日 相同 呢 ? 答 
案 出 人 意料 地 低 : 23 人 。 对 于 仅 有 23 个 人 的 屋 里 ， 在 屋 里 仍 有 253 个 不 同 对 的 人 。 

寻找 特定 生日 的 某 人 类 似 于 第 一 种 攻击 ， 而 寻找 两 个 随机 的 具有 相同 生日 的 两 个 人 则 是 
第 二 种 攻击 。 第 二 种 方法 通常 称 为 生日 攻击 (birthday attack), 

假设 一 个 单 向 散 列 函数 是 安全 的 ， 并 且 攻 击 它 最 好 的 方法 是 穷 举 攻击 。 假 定 其 输出 为 m 
位 ， 那 么 寻找 一 个 消息 ， 使 其 单 向 函数 值 与 给 定 函 数值 相同 则 需要 计算 2” 次 ; 而 寻找 两 个 
消息 具有 相同 的 散 列 值 仅 需要 试验 2””“ 个 随机 消息 。 每 秒 能 进行 100 万 次 散 列 运算 的 计算 机 
需要 花 60 万 年 才能 找到 第 二 个 消息 与 给 定 的 64 位 散 列 值 相 匹配 。 同 样 的 机 器 可 以 在 大 约 1 
小 时 里 找到 一 对 有 相同 的 散 列 值 的 消息 。 

这 就 意味 着 如 果 你 对 生日 攻击 非常 担心 ， 那么 你 所 选择 的 散 列 函 数值 的 长 度 应 该 是 你 本 
以 为 可 以 的 两 倍 。 例如， 如 果 你 想 让 他 们 成 功 破 译 系 统 的 可 能 低 于 1/2”"， 那 么 应 该 使 用 
160 位 的 单 向 散 列 函数 。 


7.5 密 钥 应 该 多 长 

答案 并 不 固定 ， 要 视 情 况 而 定 。 为 了 确定 你 需要 多 高 的 安全 性 ， 你 应 该 问 自己 一 些 问 
题 : 你 的 数据 价值 有 多 大 ? 你 的 数据 要 多 长 的 安全 期 ? 攻击 者 的 资源 情况 怎样 ? 

一 个 顾客 清单 或 许 值 1000 美元 ; 一 起 令 人 痛苦 的 离婚 案件 的 财政 数据 或 许 值 1 万 美元 ; 
一 个 大 公司 的 广告 和 市 场 数据 应 该 值 100 万 美元 ; 而 一 个 数据 取款 系统 的 主 密 钥 价值 可 能 会 
超过 亿 元 。 

在 商品 贸易 的 世界 里 ， 保 密 仅 需要 数 分 钟 。 在 报纸 行业 ， 今 天 的 秘密 将 是 明天 的 头条 标 
题 。 产 品 开发 信息 或 许 需要 保密 一 两 年 。 根 据 法 律 ， 美 国人 口 普 查 数 据 要 保密 100 年 。 

参加 你 小 妹妹 令 人 惊讶 的 生日 晚会 的 客人 名 单 只 能 引起 那些 爱 管 闲事 的 亲戚 的 兴趣 ， 公 
司 的 贸易 秘密 是 那些 竞争 公司 所 感 兴趣 的 ; 对 敌 军 来 说 军事 秘密 是 值得 感 兴趣 的 。 

你 可 以 据 此 阐述 你 的 安全 需求 。 例 如 : 


密 钥 长 度 必须 足够 长 ， 以 使 破译 者 花费 1 亿美 元 在 一 年 中 破译 系统 的 可 能 性 不 
超过 1/232 ， 甚 至 假设 技术 在 此 期 间 每 年 有 30 上 的 增长 速度 。 


表 7-10 部 分 摘自 文献 L150]， 给 出 了 对 不 同 信息 安全 需要 的 估计 。 
表 7-10 不 同 信息 的 安全 需要 





信息 类 型 时 间 最 小 密 钥 长 度 

战场 军事 信息 数 分 钟 /小 时 56~64 位 
产品 发 布 、 合 并 和 利率 数 天 / 数 周 64 位 

长 期 商业 计划 数 年 64 位 

贸易 秘密 数 十 年 112 位 

氢弹 秘密 >40 年 128 位 

间谍 的 身份 >50 4F 128 位 

个 人 隐私 >50 年 128 位 

外 交 秘 密 >65 4F 至 少 128 位 
美国 普查 数字 100 年 至 少 128 位 


将 来 的 计算 机 能 力 是 难以 估计 的 ， 但 这 里 有 一 个 合情合理 的 经 验方 法 : 计算 机 设备 的 性 
价 比 每 18 个 月 翻 一 番 或 者 以 每 5 年 10 倍 的 速度 增长 。 这 样 ， 在 50 年 内 最 快 的 计算 机 将 比 
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今天 快 10" 信 ， 并 且 这 些 数 字 仅 对 于 普通 用 途 的 计算 机 而 言 ， 谁 能 知道 菜 种 特制 的 密码 破译 
机 在 下 个 50 年 内 如 何 发 展 呢 ? 

假定 一 种 加 密 算法 能 用 30 年 ， 你 就 能 对 它 是 多 么 安全 有 一 个 概念 。 现 在 设计 的 一 种 算 
法 或 许 直 到 2000 年 才 会 普遍 使 用 ， 并 将 在 2025 年 仍然 运用 它 来 为 那些 需要 保密 至 2075 年 
或 更 晚 的 信息 加 密 。 


7.6 小 结 


有 关 对 未 来 10 年 计算 能 力 的 预测 是 十 分 滑稽 的 ， 更 不 用 说 50 年 了 。 那 些 计算 仅 可 以 理 
解 为 一 个 指导 ， 仅 此 而 已 。 如 果 说 过 去 就 是 一 个 向 导 ， 那 么 现实 已 经 表明 ， 未 来 与 我 们 预测 
的 情况 会 有 很 大 不 同 。 

保守 一 点 吧 。 如 果 你 的 密 钥 比 你 认为 必须 有 的 长 度 还 要 长 的 话 ， 就 没有 太 多 令 人 惊讶 的 
技术 能 够 伤害 到 你 。 
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密 钥 管理 


Alice 与 Bob 有 一 个 保密 通信 系统 。 他 们 玩 智力 扑克 游戏 ， 签 订 合同 ， 甚 至 相互 交换 数 
字 现 金 。 他 们 的 通信 协议 是 安全 的 ， 算 法 也 是 一 流 的 。 不 幸 的 是 ， 他 们 的 密 钥 来 自 Eve 的 
“keys-R-Us”， 该 店 的 口号 是 “你 可 以 相信 我 们 : 安全 性 是 我 们 前 任 婆 婆 的 旅行 社 在 Kwik- 
E-Mart 遇 到 的 某 个 人 的 别名 ”。 

Eve 不 需要 破译 这 些 算法 ， 也 不 依靠 协议 的 微小 缺陷 ， 她 尽 可 以 使 用 他 们 的 密 钥 阅读 所 
有 Alice 与 Bob 的 通信 而 不 用 动 一 根 指头 去 破译 。 

在 现实 世界 里 ， 密 钥 管 理 是 密码 学 领域 最 困难 的 部 分 。 设 计 安 全 的 密 钥 算法 和 协议 是 不 
容易 的 ， 但 你 可 以 依靠 大 量 的 学 术 研 究 。 相 对 来 说 ， 对 密 钥 进行 保密 更 加 困难 。 

密码 分 析 者 经 常 通过 密 钥 管理 来 破译 对 称 密 钥 和 公开 密 钥 系统 ， 假 如 Eve 能 从 粗心 的 
密 钥 管理 程序 中 很 容易 找到 密 钥 ， 她 何必 为 破译 而 操心 烦恼 呢 ? 如 果 花 1000 美元 能 贿赂 一 
个 书记 员 ， 她 何必 花 1000 万 去 制造 一 台 破 译 机 器 呢 ? 利用 100 万 美元 收买 外 交大 使 馆 里 一 
个 职位 不 错 的 通信 记录 员 是 一 笔划 得 来 的 买卖 。 美 国 海军 的 加 密 密 钥 很 多 年 前 就 已 经 被 内 贼 
卖 到 了 苏联 。 中 央 情 报 局 〈CIA) 的 军事 情报 人 员 ， 包 括 他 们 的 妻子 ， 可 以 为 不 到 20 万 美 
元 所 引诱 ， 这 可 比 建造 大 型 的 攻击 机 器 和 雇佣 聪明 的 密码 分 析 专 家 便宜 得 多 。Eve 还 可 以 偷 
到 密 铀 ， 也 可 以 逮 到 或 绑架 知道 密 钥 的 人 。 当 然 ，Eve 利用 色相 对 知晓 密 钥 者 进行 勾引 ， 也 
能 得 到 密 钥 (保卫 莫斯科 美国 大 使 馆 的 海军 陆 战 兵 对 此 并 不 具备 免疫 力 )。 在 人 身上 找到 漏 
洞 比 在 密码 系统 中 找到 漏洞 更 容易 。 

Alice 与 Bob 必须 像 保 护 他 们 的 数据 那样 保护 他 们 的 密 钥 。 如 果 一 个 密 钥 不 经 常 更 改 ， 
那么 分 析 者 可 获得 大 量 的 数据 。 不 幸 的 是 ， 许 多 商业 产品 只 简单 地 标注 “使 用 DES” 而 将 
其 他 事情 抛 在 脑 后 。 这 样 的 结果 往往 并 不 令 人 振奋 。 

举 个 例子 ， 大 多 数 软件 店 出 售 的 对 Macintosh (2.1 版 ) 的 磁盘 锁 程 序 声称 具有 DES 加 
密 算 法 的 安全 性 。 他 们 的 文件 的 确 是 用 DES 加 密 的 ， 并且 对 DES 算法 的 实现 也 正确 。 然 而 
磁盘 锁 将 DES 密 钥 放 在 加 密 后 的 文件 中 。 如 果 你 知道 到 哪里 去 寻找 密 钥 ， 并 想 阅 读 用 磁盘 
锁 的 DES 加 密 后 的 文件 ， 从 加 密 的 文件 中 恢复 密 钥 ， 然 后 用 它 解 密 。 这 与 是 否 使 用 DES 加 
密 该 程序 没有 任何 关系 一 一 这 种 应 用 是 完全 不 安全 的 。 

有 关 密 钥 管 理 的 进一步 资料 可 见 文献 [457、98、1273、1225、775、357]。 下 面 几 节 将 
深入 讨论 一 些 细节 及 其 解决 方案 。 


8.1 产生 密 钥 


算法 的 安全 性 依赖 于 密 钥 ， 如 果 用 一 个 弱 的 密 钥 产生 方法 ， 那 么 整个 系统 都 将 是 弱 的 。 
因为 能 破译 密 钥 产生 算法 ， 所 以 Eve 就 不 需要 破译 加 密 算法 了 。 





8. 1.1 减少 的 密 钥 空间 

DES 有 56 位 的 密 钥 ， 正 常情 况 下 任何 一 个 56 位 的 数据 串 都 能 成 为 密 钥 ， 所 以 共有 2" 
q0) 种 可 能 的 密 钥 。Norton Discreet for MS-DOS (8.0 版 或 更 低 的 版 本 ) 仅 允 许 ASCI 
码 的 密 钥 ， 并 强制 每 一 字 节 的 最 高 位 为 零 。 该 程序 将 小 写字 母 转 换 成 大 写 (使 得 每 个 字 节 的 


122 + 第 二 部 分 密码 技术 


第 5 位 是 第 6 位 的 逆 )， 并 忽略 每 个 字 节 的 最 低位 。 这 样 就 导致 该 程序 只 能 产生 2" 个 可 能 的 
密 钥 。 这 些 精 糕 的 密 钥 产 生 程 序 使 DES 的 攻击 难度 比 正 常情 况 低 了 1 万 倍 。 

表 8-1 给 出 了 在 不 同 输入 限制 下 可 能 的 密 钥 数 。 表 8-2 给 出 了 在 每 秒 100 万 次 测试 的 情 
况 下 ， 寻 找 所 有 这 些 密 钥 消耗 的 时 间 ， 记 住 ， 穷 举 搜索 8 字 节 密 钥 与 搜索 4、5、6、7、8 字 
节 密 钥 在 所 费时 间 上 只 有 很 小 的 区 别 。 


R 8-1 不 同 密 钥 空间 的 可 能 密 钥 数 

















4 字 节 5 字 节 6 字 节 7 字 节 8 字 节 
小 写字 母 (26) 460 000 1.2X107 3. 1X 108 8. OX 109 2.1X101 
小 写字 母 和 数字 (36) 1 700 000 6.0107 2. 2X 10° 7.8X 101° 2.8X 1012 
字母 数字 字符 (62) 1.510? 9. 2X 108 5. 7X 10! 3.5 X10! 2.210! 
印刷 字符 (95) 8.1X107 7.7 又 108 7.4X101 7.01018 6. 6X 1015 
ASCII 字符 (128) 2.7X 108 3.4X10% 4. 4X 1012 5. 6X1014 7.2% 1018 
8 位 ASCII 字符 (256) 4.3109 1.110! 2. 8X10! 7. 2X 1016 1.8X10!9 

表 8-2 不 同 密 钥 空 间 穷 举 搜索 时 间 (假设 每 秒 测试 100 万 次 ) 

4 字 节 5 字 节 6 字 节 7 字 节 8 字 节 
小 写字 母 (26) 0. 5 秒 12 秒 5 分 钟 2. 2 小 时 2.4 天 
小 写字 母 和 数字 (36) 1.7 秒 1 分 钟 36 分 钟 22 小 时 33K 
字母 数字 字符 (62) 15 秒 15 分 钟 16 小 时 41k 6. 9 年 
印刷 字符 (95) 1. 4 分 钟 2. 1 小 时 8.5 天 2.2 4E 210 年 
ASCII 字符 (128) 4. 5 分 钟 9. 5 小 时 SLR 18 年 2300 年 
8 位 ASCII 字符 (256) 1. 2 小 时 1K 8. 9 年 2300 年 580 000 年 


特定 的 穷 举 攻击 硬件 和 并 行 工具 将 在 这 里 工作 ， 每 秒 测试 100 万 次 (一 台 机 器 或 多 台 
机 器 并 行 运转 ) ， 那 么 将 能 破译 小 写字 母 和 小 写字 母 与 数字 的 8 字 节 的 密 钥 ，7 字 节 的 字 
母 数字 字符 密 钥 ，6 字 节 的 印刷 字符 和 ASCII 字 符 密 钥 ，5 字 节 长 的 8 位 ASCI 字符 密 钥 。 

记 住 ， 计 算 机 的 计算 能 力 每 18 个 月 翻 一 倍 。 如 果 期 望 密 钥 能 够 抵抗 穷 举 攻击 10 年 ， 那 
么 最 好 相应 地 做 出 计划 。 








8.1.2 弱 密 钥 选择 

人 们 选择 自己 的 密 钥 时 ， 通 常 选择 一 个 弱 密 钥 。 他 们 常常 喜欢 选择 Barney 而 不 是 *9 
(hH/A。 并 不 能 总 归罪 于 不 良 的 安全 实践 ， 而 是 Barney 的 确 比 *9 (hH/A 更 容易 记忆 。 最 
安全 的 密码 系统 也 帮 不 了 那些 习惯 用 他 们 配偶 的 名 字 作 为 密 钥 或 者 把 密 钥 写 下 来 揣 在 忽 里 的 
人 人。 聪明 的 穷 举 攻击 并 不 按照 数字 顺序 去 尝试 所 有 可 能 的 密 铀 ， 它 们 首先 尝试 最 可 能 的 
密 钥 。 

这 就 是 所 谓 的 字典 攻击 ， 因 为 攻击 者 使 用 一 本 公用 的 密 钥 字 典 。Baniel Klein 用 这 个 系 
统 能 够 破译 一 般 计 算 机 上 40% WSO 。 试 图 登录 时 ， 他 并 不 是 一 个 口令 接 一 个 口令 地 
试验 ， 他 把 加 密 的 口令 文件 复制 下 来 然后 进行 离线 攻击 。 下 面 是 他 的 试验 : 

(1) 用 户 的 姓名 、 简 写字 母 、 账 户 姓名 和 其 他 有 关 的 个 人 信息 都 是 可 能 的 口令 ， 基 于 所 有 
这 些 信息 可 以 尝试 130 个 口令 。 对 于 一 个 名 叫 Daniel V. Klein， 账 户 名 为 klone 的 用 户 ， 可 用 来 
尝试 口令 的 一 些 词 是 klone, klone0, klonel, klonel23, dvk, dvkdvk, dkdein, Dklein, leinad, 
nielk, dvklein, danidk, DvkkvD, DANIEL-KLEIN, (klone) 和 KleinD 等 。 
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(2) 使 用 从 各 种 数据 库 中 得 到 的 单词 。 这 些 单词 是 男人 和 女人 的 姓名 名 单 (总 共 约 为 
16 000); 地 点 (FER spain, spanish 和 spaniard 这 样 的 排列 也 会 考虑 在 内 ); BAM HE 
名 : 卡通 漫画 和 卡通 人 物 ; 电影 和 科幻 小 说 故事 的 标题 、 有 关 人 物 和 地 点 ; 神话 中 的 生物 名 
字 (从 《Bullfinch”s Mythology》 和 神话 动物 字典 中 产生 出 的 ); 体育 活动 (包括 球 队 名 、 
别名 和 专用 名 称 ); 数字 (比如 2001 和 twelve); 一 串 字 母 和 数字 Cha, aa, aaa 和 aaaa 
等 ); 中 文 音节 〈( 选 自 汉 语 拼 音字 母 或 在 英文 键盘 上 输入 中 文 的 国际 标准 系统 ); 《圣经 》 的 
权威 英 译本 ; 生物 术语 ; 公用 的 粗话 (如 fuckyou、ibmsux 和 deadhead); 键盘 模式 (如 
qwerty, asdf 和 zxcvbn); 缩写 (如 roygbiv 彩虹 的 七 种 颜色 和 ooottafagvah 帮助 记 
忆 头 部 12 条 神经 的 东西 ); 机 器 名 称 〈 可 从 letc/hosts 中 获得 ); 莎士比亚 作品 中 的 人 物 、 戏 
剧 和 地 点 ; 常用 的 犹太 语 ; 小 行星 名 称 和 Klein 以 前 发 表 的 技术 论文 中 搜集 到 的 单词 。 综 上 
所 述 ， 每 个 使 用 者 可 以 考虑 超过 66 000 个 独立 的 单词 (舍弃 字典 内 外 复制 的 那些 )。 

(3) 第 (2) 步 得 到 的 单词 的 不 同 置换 形式 。 这 包括 使 第 一 个 字母 大 写 或 作为 控制 
符 ; 使 整个 单词 大 写 ; 颠倒 单词 的 顺序 (不 管 前面 有 无 大 写 ); 将 字母 O 换 成 数字 0 
(使 得 单词 scholar VE schOlar); 将 字母 1 换 成 数字 1 (使 单词 scholar 变 成 scholar), VW 
及 进行 同样 操作 将 字母 Z 换 成 数字 2、S 换 成 5; 男 一 种 测试 是 将 单词 变 为 复数 形式 
(不 管 它 是 否 为 名 词 )， 非 常 聪明 地 将 dress 变 为 dresses、house 变 为 houses、daisy 变 为 
daisies, Klein 并 不 考虑 复数 规则 ，datum 可 以 变 为 datums (不 是 data), sphynx 变 为 
sphynxs (而 不 是 sphynges); 同样 ， 将 后 缀 -ed、-er 和 -ing 加 到 单词 上 ， 如 phase BH 
phased、phaser 和 phasing。 这 些 附 加 的 测试 使 得 每 一 位 使 用 者 可 能 的 口令 清单 增加 了 
100 万 个 单词 。 

(4) 从 第 (2) 步 得 到 的 单词 的 不 同 的 大 写 置 换 形 式 ， 不 考虑 第 G) 步 。 这 包括 所 有 单 
字母 的 单个 大 写 置换 (如 michael 可 换 为 mIchael, miChael, michAel 等 ) ， 双 字母 大 写 置 换 
(MIchael、MiChael、MicHael、…、mIChael、micHael 等 等 ); 三 字母 置换 ; 等 等 。 对 于 每 
一 个 使 用 者 ， 单 字母 置换 增加 了 大 约 40 万 个 单词 ， 双 字母 置换 增加 150 万 个 单词 ， 三 字母 
置换 增加 至 少 300 万 个 单词 。 必 须要 有 足够 的 时 间 来 完成 测试 ， 测 试 完 成 4、5、6 个 字母 的 
置换 没有 充足 的 计算 机 “马力 ”是 不 可 能 的 。 

(5) 对 外 国 用 户 要 尝试 外 语 单词 ， 对 有 中 文 名 称 的 用 户 要 使 用 中 文 口 令 来 进行 特别 的 测 
试 。 汉 语 拼音 字母 组 成 单 音节 、 双 音节 或 三 音节 的 单词 ， 但 由 于 不 能 测试 确定 它们 是 否 实际 
存在 ， 所 以 要 启动 穷 举 搜索 〈 在 汉语 拼音 中 共有 298 个 音节 ，158 404 个 双 音 节 词 ， 多 于 
1600 万 个 三 音节 词 ) 。 一 种 类 似 的 攻击 方式 ， 就 是 穷 举 构造 出 来 的 可 以 发 音 但 并 不 存在 的 单 
词 ， 可 以 很 容易 地 被 用 于 英语 中 。 

(6) 尝试 词组 。 自 然 测试 所 耗费 的 数字 量 是 令 人 惊 慢 的 。 为 了 简化 测试 ， 只 有 在 /usr/ 
dict/words 中 存在 ， 且 仅 有 三 四 个 字母 长 的 才 被 测试 。 即 使 这 样 ， 词 组 数目 也 有 数 千 万 。 

当 字 典 攻 击 被 用 于 破译 密 钥 文 件 而 不 是 单个 密 钥 时 就 显得 更 加 有 力 。 单 个 用 户 可 以 很 机 
灵 地 选择 好 的 密 钥 ， 如 果 1000 个 人 各 自选 择 自己 的 密 钥 作 为 计算 机 系统 的 口令 ， 那 么 至 少 
有 一 个 人 将 选择 攻击 者 字典 中 的 词 作 为 密 钥 。 


8.1.3 随机 密 铀 


好 的 密 钥 是 指 那些 由 自动 处 理 设备 产生 的 随机 位 串 。 如 果 密 钥 为 64 位 长 ， 每 一 个 可 能 
的 64 位 密 钥 必 须 具 有 相等 的 可 能 性 。 这 些 密 钥 位 串 要 么 从 可 靠 的 随机 源 中 产生 〈 见 17. 14 
节 )， 要 么 从 安全 的 伪 随 机 位 发 生 器 中 产生 〈 见 第 16 章 和 第 17 章 )。 如 果 自 动 处 理 办 不 到 ， 
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就 抛 硬币 或 据 骨 子 吧 1 

这 是 非常 重要 的 ,但 不 要 太 拘 泥 于 声 源 产 生 的 随机 噪声 和 放射 性 衰减 产生 的 噪声 谁 更 随 
机 。 这 些 随 机 噪声 源 都 不 是 很 完善 ， 但 已 经 足够 好 了 。 用 一 个 好 的 随机 数 发 生 需 产后 密 钥 很 
重要 ， 然 而 更 加 重要 的 是 要 有 好 的 加 密 算法 和 密 钥 管 理 程序 。 如 果 你 对 密 钥 的 随机 性 产生 怀 
疑 的 话 ， 请 用 后 面 讲 的 密 钥 人 碾 碎 技术 。 

许多 加 密 算法 都 有 弱 密 钥 : 特定 的 密 钥 往往 比 其 他 密 钥 的 安全 性 差 。 建 议 对 这 些 弱 密 钥 
进行 测试 ， 并 且 发 现 一 个 就 用 一 个 新 的 代替 。DES 在 2“ 个 密 钥 中 仅 有 16 个 弱 密 钥 ， 因 此 生 
成 这 些 密 钥 的 机 会 很 小 。 已 经 证 明 ， 密 码 分 析 者 对 使 用 弱 密 钥 一 无 所 知 ， 因 而 也 就 不 能 从 这 
个 偶然 的 使 用 中 获得 什么 ， 不 用 弱 密 钥 加 密 反而 给 密码 分 析 者 提供 了 信息 。 然 而 ， 对 几 个 弱 
密 钥 进行 检测 非常 容易 ， 所 以 我 们 不 能 轻率 地 这 么 做 。 

对 公开 密 钥 密码 术 来 说 ， 产 生 密 钥 更 加 困难 ， 因 为 密 钥 必须 满足 某 些 数学 特征 〈 必 须 是 
素数 的 、 二 次 剩余 的 等 ) 11.5 节 讨 论 了 产生 大 随机 素数 的 技术 。 从 密 钥 管理 的 观点 看 ， 发 
生 器 的 随机 种 子 也 必须 是 随机 的 ， 这 一 点 应 该 记 住 。 

产生 一 个 随机 密 钥 并 不 总 是 可 能 的 。 有 时 你 需要 记 住 密 钥 (看 你 用 多 长 时 间 记 住 这 串 字 
符 : 25E856F2E8BAC820)。 如 果 必 须 用 一 个 容易 记忆 的 密 钥 ， 那 就 使 它 星 涩 难 懂 。 理 想 的 
情况 是 该 密 钥 既 容 易 记 忆 ， 又 难以 被 猜 中 。 下 面 是 一 些 建议 : 

。 词组 用 标点 符号 分 开 ， 例 如 turtle x moose 或 者 zorch! splat, 

。 由 较 长 短语 的 首 字 母 组 成 字母 串 。 例 如 由 Mein Luftkissenfahrzeug ist Voller Aale! 

产生 密 钥 MLivA!, 


8.1.4 通行 短语 

一 个 比较 好 的 办 法 是 利用 一 个 完整 的 短语 代替 一 个 单词 ， 然 后 将 该 短语 转换 成 密 钥 。 这 
些 短语 称 为 通行 短语 (pass phrase) 。 一 项 称 为 密 钥 碾 碎 (key crunching) 的 技术 可 以 把 容 
易 记 忆 的 短语 转换 为 随机 密 钥 ， 使 用 单 向 散 列 函数 可 将 一 个 任意 长 度 的 文字 串 转 换 为 一 个 伪 
随机 位 串 。 

例如 ， 易 于 记忆 的 文本 串 : 

My name is Ozymandias, king of kings. Look on my works, ye mighty, and despair. 

可 以 被 碾 碎 成 一 个 64 位 的 密 钥 : 

e6cl 4398 5ae9 0a9b 

当然 ， 向 一 个 关闭 回 显 的 计算 机 输入 完整 的 短语 是 很 困难 的 ， 所 以 需要 大 家 为 此 提出 好 
建议 是 值得 推荐 的 。 

如 果 这 个 短语 足够 长 ， 那 么 所 得 到 的 密 钥 将 是 随机 的 . “足够 长 ”的 确切 含义 还 有 待 解 
释 。 信 息 论 告诉 我 们 ， 在 标准 的 英语 中 平均 每 个 字符 含有 1. 3 位 的 信息 (参见 11. 1 节 )。 对 
于 一 个 64 位 的 密 钥 来 说 ， 一 个 大 约 有 49 个 字符 或 者 10 个 常见 英语 单词 的 通行 短语 应 当 是 
足够 的 。 根 据 经 验 ， 每 4 个 字 节 的 密 钥 就 需要 5 个 单词 。 这 是 保守 的 假设 ， 因 为 字母 的 大 小 
写 、 空 格 键 ， 以 及 标点 符号 都 没有 考虑 在 内 。 

这 种 技术 甚至 可 为 公开 密 钥 密码 术 产 生 私 人 密 钥 : 文本 串 被 碾 碎 成 一 个 随机 种 子 ， 将 该 
种 子 输入 到 一 个 确定 性 系统 后 就 能 产生 公开 密 钥 / 私 人 密 钥 对 。 

如 果 你 正 打算 选择 一 个 通行 短语 ， 那 么 就 选择 独特 而 容易 记忆 的 ， 最 好 别 在 文学 著作 里 
面 选 取 一 一 如 Ozyrmndias 就 很 差 。 莎 士 比 亚 的 全 本 著作 和 《星球 大 战 》 里 的 对 话 都 在 线 提 
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供 ， 并 且 很 容易 用 来 进行 字典 攻击 。 要 选择 难 懂 但 有 个 性 的 词 ， 包 括 一 些 标 点 符号 和 大 写字 
母 。 如 果 能 够 ， 还 可 以 包括 数字 和 非 字母 符号 。 糟 糕 的 或 者 不 正确 的 英语 ， 甚 至 一 门 外 语 
会 使 通行 短语 对 字典 攻击 缺乏 敏感 性 。 对 使 用 通行 短语 有 一 个 建议 就 是 “ 鬼 扯 ”: 容易 记 住 
但 不 可 能 被 写 出 的 胡言 乱 语 。 

不 管 上 面 怎么 叙述 ， 难 懂 绝 不 是 真正 随机 的 代替 品 。 最 好 的 密 钥 还 是 随机 密 钥 ， 尽 管 很 
难 记 住 。 


8.1.5 X9. 17 密 钥 产生 


ANSI X9. 17 标准 规定 了 一 种 密 钥 产生 方法 〈 见 图 8-1)554 。 它 并 不 产生 容易 记忆 的 密 
钥 ， 而 更 适合 在 一 个 系统 中 产生 会 话 密 钥 或 伪 随 机 数 。 用 来 产生 密 钥 的 加 密 算 法 是 三 重 
DES， 它 就 像 其 他 算法 一 样 容 易 。 








图 8-1 ANSI X9. 17 %4 


设 Ex (X) 表示 用 密 钥 K 对 X 进行 三 重 DES 加 密 。K 是 为 密 钥 发 生 器 保留 的 一 个 特殊 
密 钥 。V, 是 一 个 秘密 的 64 位 种 子 ，T 是 一 个 时 间 标 记 。 为 了 产生 随机 密 钥 R, ， 计 算 : 
R; = Er(Ex(T) BV,) 
ATA Voo HH: 
Var = Er Er (TD ORD 
为 了 把 R; 转换 为 DES 密 钥 ， 简 单 地 调整 每 一 个 字 节 第 8 位 奇偶 性 就 可 以 。 如 果 你 需要 
一 个 64 位 密 钥 ， 按 上 面 计算 就 可 以 得 到 。 如 果 你 需要 一 个 128 位 密 钥 ， 产 生 一 对 密 钥 后 再 
把 它们 串 接 起 来 。 


8.1.6 DoD 密 钥 产生 


美国 国防 部 建议 用 DES 在 OFB 方 式 (参见 9.8 节 ) 下 产生 随机 密 钥 "“" 。 由 系统 中 断 
向 量 、 系 统 状态 寄存 器 和 系统 计数 器 产生 DES HH; 由 系统 时 钟 、 系 统 ID 号 、 日 期 和 时 间 
产生 初始 化 向 量 。 明 文采 用 外 部 产生 的 64 位 量 : 如 系统 管理 员 键 入 的 8 个 字符 。 这 样 ， 其 
输出 就 可 作为 密 钥 。 


8.2 非 线 性 密 钥 空间 

假设 你 是 一 个 军事 密码 组 织 ， 为 手下 制造 了 一 批 加 密 设 备 。 你 想 使 用 一 个 安全 的 算 
法 ,但 又 怕 这 些 设备 落 和 敌人 手 里 。 最 后 你 想 做 的 就 是 敌人 能 够 用 这 些 设备 保护 “他 们 ” 
的 秘密 。 

如 果 能 将 你 的 算法 加 入 到 一 个 防 窜改 模块 中 ， 则 可 以 要 求 有 特殊 保密 形式 的 密 钥 ， 而 其 
他 密 钥 都 会 引起 模块 用 非常 弱 的 算法 加 密 和 解密 。 你 这 样 做 可 以 使 那些 不 知道 这 个 特殊 形式 
的 人 偶然 碰 到 正确 密 钥 的 机 会 几乎 为 零 。 
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这 就 是 所 谓 的 非 线性 密 钥 空间 (nonlinear keyspace)， 因 为 所 有 密 钥 的 强壮 程度 并 不 相 
等 。( 与 之 相对 应 的 是 线性 (linear) 或 平坦 (flat) 密 钥 空 间 。) 可 以 用 一 种 很 简单 的 方法 ， 
即 按照 两 部 分 来 生成 密 钥 : 密 钥 本 身 和 用 该 密 钥 加 密 的 某 个 固定 字符 串 。 模 块 用 这 个 密 钥 对 
字符 串 进行 解密 ， 如 果 不 能 得 到 这 个 固定 的 字符 串 ， 则 用 另 一 个 不 同 的 弱 算 法 。 如 果 该 算法 
有 一 个 128 位 的 密 钥 和 一 个 64 位 的 字符 块 ， 密 钥 总 长 度 为 192 位 ， 那 么 共有 有 效 密 钥 2 
个 ， 但 是 随机 选择 一 个 好 密 钥 的 机 会 却 成 了 1/2”。 

可 以 设计 一 种 算法 使 某 些 密 钥 比 其 他 密 钥 更 好 。 一 个 没有 弱 密 钥 ， 至 少 没有 明显 弱 密 铀 
的 算法 仍然 可 以 有 非 线性 密 钥 空间 。 

使 用 非 线 性 密 钥 空间 仅 当 在 算法 是 安全 的 ， 并 且 敌 人 不 能 对 其 进行 反 控 制 ， 或 者 密 钥 强 
度 的 差异 足够 细微 以 至 于 敌人 不 能 计算 出 来 时 才 可 行 。NSA 对 Overtake 模块 中 的 安全 算法 
进行 非 线性 密 钥 空 间 的 使 用 (参见 25. 1 节 )。 他 们 会 不 会 对 Skipjack 算法 (参见 13. 12 节 ) 
做 同样 的 事情 呢 ? 没 人 知道 。 


8.3 传输 密 铀 


Alice 和 Bob 采用 对 称 加 密 算法 进行 保密 通信 : 他 们 需要 同一 个 密 钥 。Alice 使 用 随机 密 
钥 发 生 器 产生 一 个 密 钥 ， 然 后 必须 安全 地 送 给 Bob。 如 果 她 能 在 某 个 地 方 碰见 Bob 〈 一 个 个 
静 的 小 起 ， 一 个 无 窗户 的 小 屋 或 者 木星 的 某 个 卫星 上 )， 她 能 将 密 钥 副本 交 给 他 ， 和 否则 就 会 
出 问题 。 公 开 密 钥 密 码 术 用 最 小 的 预先 安排 可 以 很 好 地 解决 这 个 问题 ， 但 是 这 项 技术 并 不 总 
是 有 效 (参见 3. 1 节 )。 某 些 系统 使 用 公认 安全 的 备用 信道 ，Alice 可 以 通过 一 个 可 靠 的 通信 
员 把 密 钥 传送 给 Bob, ， 也 可 以 用 合格 的 邮政 或 通宵 传递 业务 来 传送 。 或 者 ， 她 可 能 同 Bob 一 
起 建立 另 一 个 希望 无 人 窃听 的 通信 信道 。 

Alice 可 以 通过 他 们 加 密 的 通信 信道 把 对 称 密 钥 送 给 Bob。 但 这 是 思春 的 。 如 果 信 道 能 
够 保证 加 密 ， 那 么 在 同一 个 信道 上 发 送 加 密 密 钥 就 能 够 保证 在 该 信道 上 的 任何 窃听 者 都 能 破 
解 全 部 通信 。 

X9. 17 标准 “描述 了 两 种 密 钥 : 密 钥 加 密 密 钥 和 数据 密 钥 。 密 钥 加 密 密 钥 〈key-en- 
cryption key) 加 密 其 他 需要 分 发 的 密 钥 ， 而 数据 密 钥 Cdatakey) 只 对 信息 序列 进行 加 密 。 
除 少数 外 ， 密 钥 加 密 密 钥 必 须 进 行 手动 分 发 (尽管 也 可 在 一 个 防 帘 改 设备 里 安全 进行 ， 如 智 
能 卡 )。 数 据 密 钥 的 分 发 更 加 频繁 ,更 多 细节 参见 文献 [75j]， 密 钥 分 发 中 用 到 了 这 两 种 密 钥 
的 概念 。 

对 密 钥 分 发 问题 的 另 一 个 解决 方法 是 将 密 钥 分 成 许多 不 同 的 部 分 (参见 3.6 节 )， 然 后 
用 不 同 的 信道 发 送出 去 : 有 的 通过 电话 ， 有 的 通过 邮寄 ， 有 的 还 可 以 通过 通宵 专递 或 信 铀 传 
书 等 〈 见 图 8-2) 。 即 使 截获 者 能 收集 到 密 钥 ， 但 缺少 某 一 部 分 ， 他 仍然 不 知道 密 钥 是 什么 ， 
所 以 该 方法 可 以 用 于 除 个 别 特殊 情况 外 的 任何 场合 。3.6 节 讨 论 了 拆 分 密 钥 的 有 关 方 案 。 
Alice 甚至 可 以 用 秘密 共享 方案 (参见 3.7 节 )， 人 允许 Bob 在 传输 过 程 丢失 部 分 密 钥 时 能 重 构 
完整 密 钥 。 

Alice 可 以 面对面 地 或 者 用 刚 讨论 过 的 密 钥 拆 分 技术 将 密 钥 加 密 密 钥 传送 给 Bob, — H. 
他 们 两 人 同时 拥有 了 该 密 钥 ，Alice 就 可 以 先 用 它 对 每 天 的 数据 密 钥 进行 加 密 ， 然 后 在 同一 
信道 上 把 它 传 送 给 Bob。 由 于 用 密 钥 加 密 密 钥 对 大 量 的 数据 加 密 速 度 非常 慢 ， 所 以 它 不 需要 
经 常 改动 。 然 而 ， 一 旦 密 钥 加 密 密 钥 遭 到 损害 ， 那 些 用 它 加 密 的 密 钥 加 密 的 所 有 信息 就 会 受 
到 损害 ， 所 以 必须 对 它 进 行 安全 的 存储 。 
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图 8-2 通过 并 行 信 道 分 发 密 钥 


大 型 网 络 的 密 钥 分 发 

在 小 型 网 络 中 ， 每 对 用 户 可 以 很 好 地 使 用 密 钥 加 密 密 钥 。 如 果 网 络 变 大 ， 将 很 快 变 得 令 
人 讨厌 。 因 为 每 对 用 户 必 须 交换 密 钥 ,n 个 人 网 络 总 的 交换 次 数 为 n(n 一 1)/2。 

6 个 人 网 络 需 交换 15 次 密 钥 ，1000 个 人 网 络 则 需 近 50 万 次 。 在 这 种 情况 下 ， 创 建 一 个 
中 央 密 钥 服 务 器 (或 服务 器 组 ) 会 使 操作 更 加 有 效 。 

男 外 ， 在 3. 1 节 中 讲 到 的 对 称 密码 术 或 公开 密 钥 密码 术 协 议 都 提供 了 安全 的 密 钥 分 发 。 


8.4 ”验证 密 钥 

当 Bob 收 到 密 钥 时 ， 他 如 何 知道 这 是 Alice 传送 的 而 不 是 其 他 人 伪装 成 Alice 传送 的 呢 ? 
如 果 是 Alice 亲自 递 给 他 的 ， 那 自然 简单 ， 如 果 Alice 通过 可 靠 的 信使 传送 密 钥 ，Bob 必须 
相信 信使 ， 如 果 密 钥 由 密 钥 加 密 密 钥 加 密 ，Bob 必须 相信 只 有 Alice 才 拥有 那个 加 密 密 钥 ; 
如 果 Alice 运用 数字 签名 协议 来 给 密 钥 签名 ， 那 么 当 Bob 验证 签名 时 就 必须 相信 公开 密 钥 数 
据 库 ， 如 果 某 个 KDC 在 Alice 的 公开 密 钥 上 签名 ，Bob 必须 相信 KDC 的 公开 密 钥 副 本 不 曾 
被 审改 过 。 

结果 ， 控 制 了 Bob 整个 网 络 的 人 都 能 够 蒙骗 Bob, Mallory 可 以 传送 一 个 加 密 和 签名 的 

消息 而 将 它 伪装 成 来 自 Alice。 当 Bob 试图 访问 公开 密 钥 数据 库 以 验证 Alice 的 签名 时 ， 
` Mallory 可 以 用 他 自己 的 公开 密 钥 来 代替 。 他 可 以 发 明 自己 的 假 KDC， 并 把 真正 的 KDC 公 
开 密 钥 换 成 他 自己 的 公开 密 钥 Bob 不 会 察觉 。 

利用 该 缺陷 的 一 些 人 声称 公开 密 钥 密码 术 是 无 用 的 。 既 然 Alice 与 Bob 保证 他 们 密 钥 不 
被 窜改 的 唯一 方式 是 面对面 交换 ， 那 么 公开 密 钥 密码 术 对 提高 安全 性 一 点 用 处 也 没有 。 

这 种 观点 是 幼稚 的 。 理 论 上 ， 这 种 说 法 是 错误 的 ， 但 实际 情况 却 复杂 得 多 。 采 用 数字 签 
名 和 可 信赖 KDC 的 公开 密 钥 密码 术 ， 使 得 用 一 个 密 钥 代 替 另 一 个 密 钥 变 得 非常 困难 ，Bob 
从 来 都 不 能 绝对 肯定 Mallory 没有 控制 他 的 整个 网 络 ， 但 他 相信 那样 做 需要 Mallory 能 够 访 
问 比 他 实际 上 能 访问 到 的 资源 多 得 多 的 资源 。 

Bob 可 以 通过 电话 验证 Alice 的 密 钥 ,那样 他 可 以 听 到 她 的 声音 。 声 音 辨 别 是 一 个 真正 
好 的 鉴别 方案 。 如 果 这 是 一 个 公开 密 钥 ， 那 么 他 可 以 当 着 大 家 的 面 通过 电话 安全 地 背诵 出 
来 。 如 果 是 一 个 秘密 密 钥 ， 他 就 用 一 个 单 向 散 列 函数 来 验证 密 钥 。PGP (参见 24. 12 节 ) 和 
AT&T TSD (参见 24. 18 节 ) 就 是 用 这 种 方法 对 密 钥 进行 验证 的 。 
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有 时 ， 验 证 一 个 公开 密 钥 到 底 属 于 谁 并 不 重要 ， 而 验证 它 是 否 属于 去 年 的 同一 个 人 或 许 
是 有 必要 的 。 如 果 某 人 发 送 了 一 个 已 签名 提 款 的 信息 到 银行 ， 银 行 并 不 关心 到 底 谁 来 提 款 ， 
它 仅 关心 是 否 与 第 一 次 来 存款 的 人 属 同一 个 人 。 


8.4.1 密 钥 传输 中 的 错误 检测 

有 时 密 钥 在 传输 中 会 发 生 错 误 。 EEEE A RA KARN: 所 以 这 是 一 个 
问题 。 所 有 的 密 钥 必须 附着 一 些 检 错 和 纠 错位 来 传输 。 这 样 ， 密 钥 在 传输 中 的 错误 很 容易 被 
检测 出 来 ， 并 且 如 果 需 要 ， 密 钥 可 被 重 传 。 

最 广泛 采用 的 一 种 方法 是 用 密 钥 加 密 一 个 常数 ， 然 后 把 密 文 的 前 2 一 4 字 节 与 密 钥 一 起 
发 送 。 在 接收 端 ， 做 同样 的 工作 ， 如 果 接 收 端 加 密 后 的 常数 能 与 发 送 端 的 常数 匹配 ， 则 传输 
无 错 。 检测 不 出 错误 的 概率 在 1/2! ~ 1/2 Zi. 


8.4.2 解密 过 程 中 的 错误 检测 


有 时 接收 者 想 检测 他 拥有 的 某 个 密 钥 是 否 是 正确 的 对 称 解密 密 钥 。 如 果 明 文 与 ASCII 
码 类 似 ， 他 就 尝试 解密 并 阅读 它 。 如 果 得 到 的 明文 是 随机 的 ， 那 么 密 钥 就 有 问题 。 

最 简单 的 方法 是 附加 一 个 验证 分 组 (verification block): 加 密 之 前 给 明文 添加 一 个 已 知 
的 标题 。 在 接收 端 ，Bob 解密 标题 ， 并 验证 它 的 正确 性 。 这 是 可 行 的 ， 但 是 它 却 给 Eve 提供 
了 已 知 的 明文 来 帮助 分 析 密 码 系 统 ， 也 使 得 对 DES 这 样 的 短 密 钥 密 文 和 对 所 有 可 出 口 的 密 
码 攻 击 变 得 容易 。 一 旦 对 每 个 密 钥 的 校 验 和 进行 了 预计 算 ， 就 可 以 用 它 来 确定 之 后 截取 到 的 
任何 信息 的 密 钥 。 这 就 是 校 验 和 的 特性 ， 它 不 包含 随机 数据 ， 至 少 在 每 一 个 校 验 和 中 没有 随 
机 数据 。 当 利用 通行 短语 产生 密 钥 时 ， 它 在 概念 上 类 似 于 使 用 salt。 

FB ii ae BE : 

(1) 产生 一 个 初始 化 向 量 IV (不 用 于 消息 )。 

(2) 用 该 初始 化 向 量 TV 产生 一 个 大 的 位 块 ， 如 512 位 。 

(3) 进行 单 向 散 列 运算 。 

(4) 使 用 散 列 运算 结果 的 相同 固定 位 〈 如 32 位 ) 作为 密 钥 校 验 和 。 

这 种 方法 不 可 避免 地 给 Eve 提供 一 些 信 息 ， 但 非常 少 。 如 果 她 试图 利用 最 后 散 列 值 的 
低 32 位 采取 穷 举 攻击 ， 她 必须 进行 多 重 加 密 并 对 每 一 个 候选 密 钥 做 散 列 运算 ， 对 密 钥 本 身 
进行 穷 举 攻击 将 更 迅速 。 

她 也 得 不 到 更 多 的 已 知 明文 信息 以 供 攻击 ， 即 使 地 能 设法 选中 随机 值 ， 她 也 得 不 到 明 
文 ， 因 为 它 已 经 在 她 看 到 之 前 被 散 列 运算 了 。 


8.5 (AEH 


软件 加 密 是 可 怕 的 。 一 台 微 机 在 一 种 程序 控制 下 的 时 代 已 过 去 了 。 现 在 有 Macintosh 系 
统 7、Windows NT 和 UNIX， 谁 也 说 不 准 什 么 时 候 操作 系统 将 会 中 止 加 密 的 运行 ， 而 将 一 
些 东西 写 在 磁盘 上 或 者 处 理 另外 一 些 急需 的 工作 。 当 操作 系统 最 后 回 过 头 后 继续 进行 加 密 工 
作 时 ， 一 切 好 像 还 是 那么 好 。 没 有 谁 意识 到 操作 系统 已 把 加 密 应 用 程序 写 到 磁盘 上 ， 并 同时 
将 密 钥 也 写 了 下 来 。 这 些 密 钥 未 被 加 密 ， 在 计算 机 重新 覆盖 那个 存储 区 之 前 它 一 直 留 在 磁盘 
上 ， 或 许 几 分 钟 ， 或 许 几 个 月 ， 甚 至 永远 。 当 攻击 者 采用 好 的 工具 彻底 搜索 该 硬盘 驱动 器 
时 ， 密 钥 可 能 还 在 那里 。 在 一 个 可 抢先 的 、 多 任务 环境 中 ， 你 可 以 给 你 的 加 密 操 作 设 置 足够 
高 的 优先 权 以 防止 被 中 断 。 尽 管 这 样 可 以 减轻 危险 度 ， 但 仍 有 风险 。 
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硬件 实现 更 安全 。 如 果 受 到 损害 ， 许 多 加 密 设备 被 设计 成 能 够 擦 除 密 钥 ,例如 IBM 
PS/2 加 密 卡 有 一 个 包含 DES 芯片 、 电 池 和 内 存 的 环 氧 单 元 。 当 然 ， 你 必须 相信 硬件 制造 者 
正确 地 实现 了 这 些 特征 。 

在 某 些 通信 应 用 中 ， 如 电话 加 密 机 ， 可 以 使 用 会 话 密 钥 。 会 话 密 钥 是 指 用 于 一 次 通信 会 
话 (一 次 单独 的 电话 通话 )， 通 话 完毕 就 抛弃 的 密 钥 。 这 种 密 钥 使 用 一 次 后 不 再 存储 ， 并 且 
如 果 你 使 用 一 些 密 钥 交换 协议 将 密 钥 从 一 端 传送 到 另 一 端 ， 在 使 用 之 前 也 不 会 被 存储 。 这 样 
就 减 小 密 钥 被 损害 的 可 能 性 。 


控制 密 钥 使 用 


在 一 些 应 用 中 控制 怎样 使 用 会 话 密 钥 是 有 意义 的 。 有 的 用 户 需 要 它 或 许 仅 仅 是 为 了 加 
密 ， 有 的 或 许 是 为 了 解密 ， 而 会 话 密 钥 应 该 被 授权 仅 用 于 某 个 特定 机 器 或 时 间 。 运 用 这 些 限 
制 的 一 个 方案 是 在 密 钥 后 面 附加 一 个 控制 向 量 (Control Vector, CV) 一 一 用 它 来 标定 密 铀 
的 使 用 和 限制 (参见 24. 1 PORE CV 取 单 向 散 列 运算 ， 然 后 与 主 密 钥 异 或 ， 把 得 
到 的 结果 作为 密 钥 对 会 话 密 钥 进行 加 密 ， 再 把 合成 的 加 密会 话 密 钥 与 CV 存储 在 一 起 。 恢 复 
会 话 密 钥 时 ， 对 CV 取 散 列 运算 再 与 主 密 钥 异 或 ， 最 后 用 结果 进行 解密 。 

该 方案 的 好 处 是 CV 可 以 任意 长 ， 并 且 总 是 以 明 的 方式 与 加 密 的 密 钥 一 起 存储 。 本 方案 
假定 硬件 防 窜改 和 用 户 不 能 直接 得 到 密 钥 。 本 系统 进一步 的 讨论 请 参见 24. 1 FFA 24. 8 节 。 


8.6 更 新 密 钥 


设想 你 每 天 都 想 改 变 加 密 的 数据 链 路 的 密 钥 。 有 时 ， 每 天 进行 新 的 密 钥 分 发 的 确 是 一 件 
痛苦 的 事 。 更 容易 的 解决 办 法 是 从 旧 的 密 钥 中 产生 新 的 密 铀 ， 有 时 称 为 密 钥 更 新 (key 
updating) 。 

更 新 密 钥 使 用 的 是 单 向 函数 。 如 果 Alice 和 Bob 共享 同一 个 密 钥 ， 并 用 同一 个 单 向 函数 
进行 操作 ， 他 们 就 会 得 到 相同 的 结果 。 那 么 他 们 就 可 以 从 结果 中 得 到 所 需要 的 数据 来 产生 新 
的 密 钥 。 

密 钥 更 新 是 可 行 的 ， 但 记 住 新 密 钥 只 是 与 日 密 钥 一 样 安全 。 如 果 Eve 能 够 得 到 旧 密 钥 ， 
她 自己 可 以 完成 密 钥 更 新 功能 。 然 而 ， 如 果 Eve 得 不 到 旧 密 钥 ， 并 试图 对 加 密 的 数据 序列 
进行 唯 密 文 攻击 ， 那 对 Alice 和 Bob 来 说 这 是 一 个 很 好 地 保护 他 们 数据 的 方法 。 


8.7 存储 密 钥 

最 不 复杂 的 密 钥 存储 问题 是 单 用 户 的 密 钥 存储 ，Alice CFU aa. AA Re 
及 她 一 个 人 ， 所 以 只 有 她 一 个 人 对 密 钥 负责 。 某 些 系 统 采用 简单 方法 : 密 钥 存储 于 Alice 的 
脑子 中 ， 而 绝 不 放 在 系统 中 ，Alice 只 需 记 住 密 钥 ， 并 在 需要 对 文件 加 密 或 解密 时 输入 。 

该 系统 的 一 个 例子 是 IPS 。 用 户 可 直接 输入 64 位 密 钥 ,或 者 输入 一 个 更 长 的 字符 
串 ， 系 统 自 动 通过 密 钥 碾 碎 技术 从 这 个 字符 串 产 生 64 位 密 钥 。 

其 他 解决 方案 有 : 将 密 钥 存储 在 磁 条 卡 中 ， 使 用 骨 人 人 ROM 芯片 的 塑料 密 钥 〈 称 为 
ROM 密 钥 ，ROM，key) 或 智能 卡 OTE! 。 用 户 先 将 物理 标记 插入 加密 箱 或 连 在 计算 机 
终端 上 的 特殊 读 和 装置 中 ， 然 后 把 密 钥 输 入 系统 中 。 当 用 户 使 用 这 个 密 钥 时 ， 他 并 不 知道 
它 ， 也 不 能 泄露 它 ， 他 只 能 用 这 种 方法 使 用 它 。 

ROM 密 钥 是 一 个 很 聪明 的 主意 。 人 们 已 经 对 物理 钥匙 很 熟悉 了 ， 知 道 它 们 意味 着 什么 
和 怎样 保护 它们 。 将 一 个 加 密 密 钥 做 成 同样 的 物理 形式 就 会 使 存储 和 保护 它 更 加 的 直观 。 把 
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密 钥 平分 成 两 部 分 ， 一 半 存 人 终端 、 另 一 半 存 人 ROM 密 钥 使 得 这 项 技术 更 加 安全 。 美 国政 
府 的 STU-III 保 密 电话 就 是 用 的 这 种 方法 。 丢 失 了 ROM 密 钥 并 不 能 使 加 密 密 钥 受 到 损 
定 一 一 换 掉 它 一 切 就 正常 如 初 ， 丢 失 终端 密 钥 情 况 也 如 此 。 这 样 ， 两 者 之 一 被 损害 都 不 能 损 
害 整个 密 钥 一 一 敌人 必须 两 部 分 都 有 才 行 。 

可 采用 类 似 于 密 钥 加 密 密 钥 的 方法 对 难以 记忆 的 密 钥 进行 加 密 保 存 。 例 如 ，RSA 私人 
密 钥 可 用 DES 密 钥 加 密 后 存储 在 磁盘 上 。 要 恢复 密 钥 时 ， 用 户 只 需 把 DES 密 钥 输入 到 解密 
程序 中 即 可 。 

如 果 密 钥 是 确定 性 地 产生 的 (使 用 密码 学 上 安全 的 伪 随 机 序列 发 生 器 )， 那 么 每 次 需要 
时 从 一 个 容易 记 住 的 口令 产生 出 密 钥 会 更 加 简单 。 

理想 的 情况 是 密 钥 永远 也 不 会 以 未 加 密 的 形式 暴露 在 加 密 设 施 外 。 这 始终 是 不 可 能 的 ， 
但 是 可 以 将 此 作为 一 个 非常 有 价值 的 奋斗 目标 。 


8.8 备份 密 角 


Alice 是 保密 有 限 公司 的 首席 财政 官员 一 一 “我 不 能 告诉 你 我 们 的 秘密 ”， 像 任何 好 的 公 
司 官员 一 样 ， 她 遵守 公司 的 保密 规则 ， 把 所 有 数据 都 加 密 。 不 幸 的 是 ， 她 没 注意 到 公司 旁边 
的 过 街 警 告 线 而 被 一 辆 卡车 撞 倒 了 。 公 司 的 董事 长 Bob 该 怎么 办 呢 ? 

除非 Alice 留 下 了 密 钥 的 副本 ， 和 否则 Bob 麻烦 就 大 了 。 加 密 的 意义 就 是 使 文件 在 没有 密 
钥 时 不 能 恢复 。 除 非 Alice 是 弱智 ， 并 用 糟糕 透顶 的 加 密 软件 ， 否 则 她 的 文件 便 永远 地 丢 
RT e 

Bob 有 几 种 方法 可 避免 这 种 事情 发 生 。 最 简单 的 方法 ， 有 时 称 密 钥 托管 方案 (key 
escrow) 〈 见 4. 14 节 ): 他 要 求 所 有 雇员 将 自己 的 密 钥 写 下 来 交 给 公司 的 安全 官 ， 由 安全 官 
将 文件 锁 在 某 个 地 方 的 保险 柜 里 〈 或 用 主 密 钥 对 它们 进行 加 密 )。 现 在 ， 当 Alice 在 州 际 公 
路 上 被 撞 倒 后 ，Bob 可 向 他 的 安全 官 索 取 她 的 密 钥 。Bob 保证 自己 也 可 以 打开 保险 箱 ; 否 
则 ， 如 果 安 全 官 被 另 一 辆 卡车 撞 倒 了 ，Bob 只 得 再 次 倒霉 。 

与 密 钥 管理 相关 的 问题 是 ，Bob 必须 相信 他 的 安全 官 不 会 滥用 任何 人 的 密 钥 。 更 重要 的 
是 ， 所 有 雇员 都 必须 相信 安全 官 不 会 滥用 他 们 的 密 钥 。 一 个 更 好 的 方法 是 采用 一 种 秘密 共享 
协议 〈 参 见 3.7 节 ) 。 

当 Alice 产生 密 钥 时 ， 她 将 密 钥 分 成 多 片 ， 然 后 她 把 每 片 〈 当 然 加 密 ) 发 给 不 同 的 公司 
官员 。 单 独 的 任何 一 片 都 不 是 密 钥 ， 但 是 某 人 可 以 搜集 所 有 的 密 钥 片 ， 并 重新 把 密 钥 恢复 出 
X. FÆ, Alice 对 任何 恶意 者 做 了 防备 ，Bob 也 对 Alice 被 撞 引 起 的 数据 丢失 做 了 预防 。 或 
者 ， 她 可 以 用 每 一 位 官员 不 同 的 公开 密 钥 把 不 同 的 片 加 密 ， 然 后 存 人 自己 的 硬盘 中 。 这 样 在 
需要 进行 密 钥 管理 之 前 ， 没 有 人 介入 密 钥 管理 中 。 

另 一 个 备份 方案 是 用 智能 卡 〈 参 见 24. 13 节 ) PEA IIS FEO. Alice 把 加 密 她 硬 
盘 的 密 钥 存 人 智能 卡 ， 当 她 不 在 时 就 把 它 交 给 Bob, Bob 可 以 利用 该 卡 进 入 Alice 的 硬盘 ， 
但 是 由 于 密 钥 存储 在 卡 中 ， 所 以 Bob 不 知道 密 钥 是 什么 。 并 且 系 统 具 有 双向 审计 功能 : Bob 
可 以 验证 智能 卡 能 否 进入 Alice 的 硬盘 ; 当 Alice 回来 后 可 以 检查 Bob 是 否 用 过 该 密 钥 ， 并 
用 了 多 少 次 。 

这 样 的 方案 对 数据 传输 来 说 是 毫 无 意义 的 。 对 于 保密 电话 ， 密 钥 在 通话 的 时 间 有 效 ， 以 
后 就 无 效 了 。 像 刚才 描述 的 那样 ， 对 数据 存储 来 说 ， 密 钥 托管 方案 可 能 是 一 个 好 主意 。 虽 然 
我 的 记忆 力 比 大 多 数 人 都 好 ， 但 大 约 每 隔 5 年 我 就 丢失 一 把 钥匙 。 如 果 2 亿 人 都 用 密码 ， 那 
么 按 这 个 概率 每 年 约 有 4000 万 个 密 钥 丢 失 。 我 把 另 一 把 房 门 钥匙 放 到 邻居 那里 以 防止 把 它 
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弄 丢 。 如 果 房 门 钥匙 就 像 密 钥 一 样 让 我 给 对 了 ， 那 我 永远 也 不 能 进入 房子 ， 并 挽回 财产 了 。 
就 像 我 把 数据 换个 地 方 备份 一 样 ， 对 数据 加 密 密 钥 进行 备份 是 非常 有 意义 的 。 


8.9 ”泄露 密 钥 


本 书 中 所 有 的 协议 、 技 术 、 算 法 仅 当 在 密 钥 (公开 密 钥 系统 中 的 私人 密 钥 ) 保密 的 情况 
FRE. WR Alice 的 密 钥 丢失 、 被 盗 、 出 现在 报纸 上 或 以 其 他 方式 泄露 ， 则 她 所 有 的 保密 
性 都 失去 了 。 

如 果 泄 露 了 称 密码 系统 的 密 钥 ，Alice 必须 更 换 密 钥 ， 并 希望 实际 损失 最 小 。 如 果 是 一 
个 私人 密 钥 ， 问 题 就 大 了 ， 她 的 公开 密 钥 或 许 就 在 所 有 网 络 的 服务 器 上 。Eve 如 果 得 到 了 
Alice 的 私人 密 钥 ， 她 就 可 以 在 网 络 上 冒充 Alice: 读 加 密 邮 件 、 对 信件 签名 、 签 合同 等 。 
Eve 能 很 有 效 地 变 成 Alice。 

私人 密 钥 泄露 的 消息 通过 网 络 迅速 蔓延 是 最 致命 的 。 任 何 公开 密 钥 数据 库 必 须 立 即 声明 
一 个 特定 私人 密 钥 被 泄露 ， 以 免 有 人 用 该 泄露 的 密 钥 加 密 消息 。 

希望 Alice 能 知道 她 的 密 钥 是 何 时 泄露 的 。 如 果 KDC 正在 管理 密 钥 ，Alice 应 该 通知 它 
密 钥 已 经 泄露 。 如 果 没 有 KDC， 她 就 要 通知 所 有 可 能 接收 她 消息 的 人 。 有 人 应 该 公布 在 丢 
失 密 钥 之 后 再 收 到 她 的 任何 消息 都 是 值得 怀疑 的 ， 以 及 其 他 人 也 不 应 该 再 用 与 丢失 密 钥 相对 
应 的 公开 密 钥 给 Alice 发 送 消息 。 实 际 应 用 中 应 该 采用 各 种 时 间 标 记 ， 这 样 用 户 就 能 识别 哪 
些 消息 是 合法 的 ， 哪 些 是 值得 怀疑 的 。 

如 果 Alice 不 知道 她 的 密 钥 泄露 的 确切 时 间 ， 事 情 就 难 办 多 了 。Alice HRA SA F, 
因为 偷 密 钥 者 冒名 代替 她 签 了 名 。 如 果 系 统 允 许 这 样 ， 那 么 任何 人 都 可 以 以 密 钥 已 泄露 为 由 
在 签名 前 撕毁 合同 。 这 对 于 裁决 者 来 说 的 确 是 一 个 难题 。 

这 是 非常 严重 的 问题 ， 并 且 它 给 Alice 带 来 一 个 危险 信号 : 将 所 有 身份 约束 到 一 个 单一 
RAL. X Alice 来 说 ， 对 于 不 同 的 应 用 ， 使 用 不 同 的 密 钥 会 更 好 一 一 就 像 她 钱柜 上 不 同 的 
锁 有 不 同 的 钥匙 一 样 。 该 问题 的 其 他 解决 办 法 包括 : 生物 统计 学 、 限 制 密 钥 的 作用 、 时 间 延 
迟 和 会 签 等 。 

这 些 程序 和 建议 很 难说 是 完善 的 ， 但 这 是 我 们 能 做 得 最 好 的 解决 办 法 。 所 有 这 些 目的 就 
是 为 了 保护 密 钥 ， 其 中 最 重要 的 是 保护 私人 密 钥 。 


8.10 BAAR 


没有 哪个 加 密 密 钥 能 无 限期 使 用 ， 它 应 当 和 护照 、 许 可 证 一 样 能 够 自动 失效 。 原 因 
如 下 : 

。 密 钥 使 用 时 间 越 长 ， 它 泄露 的 机 会 就 越 大 。 人 们 会 写 下 密 钥 ， 也 会 丢失 它 ， 偶 然 事 
件 也 会 发 生 的 。 如 果 你 使 用 一 年 ， 那 泄露 的 可 能 性 比 你 使 用 一 天 要 大 得 多 。 

。 如 果 密 钥 已 泄露 ， 那 么 密 钥 使 用 越久 ， 损 失 就 越 大 。 如 果 密 钥 仅 用 于 加 密 一 个 文件 
服务 器 上 的 单个 预算 文件 ， 它 的 丢失 仅 意 味 着 该 文件 的 丢失 ; 如 果 密 钥 用 来 加 密 文 
件 服务 器 上 所 有 预算 信息 ， 那 么 损失 就 大 得 多 。 

。 密 钥 使 用 越久 ， 人 们 花费 精力 破译 它 的 诱惑 力 就 越 大 一 一 甚至 采用 穷 举 攻击 法 。 破 
译 了 两 个 军事 单位 使 用 一 天 的 共享 密 钥 ， 会 使 某 人 能 阅读 当天 两 个 单位 之 间 的 通信 
信息 ， 而 破译 所 有 军事 机 构 使 用 一 年 的 共享 密 钥 ， 会 使 同样 的 人 获取 和 伪造 通行 全 
球 一 年 的 信息 。 在 我 们 的 意识 里 ， 冷 战 后 的 世界 里 ， 哪 个 密 钥 会 受到 攻击 呢 ? 

。 对 用 同一 密 钥 加 密 的 多 个 密 文 进行 密码 分 析 一 般 比 较 容 易 。 
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对 任何 密码 应 用 ， 必 须 有 一 个 策略 能 够 检测 密 钥 的 有 效 期 。 不 同 密 钥 应 有 不 同 的 有 效 
期 ， 基 于 连接 的 系统 〈 如 电话 )， 就 是 把 通话 时 间作 为 密 钥 有 效 期 ， 当 再 次 通话 时 就 启用 新 
的 密 钥 。 

专用 通信 信道 就 不 这 么 明显 了 。 密 钥 应 当 有 相对 较 短 的 有 效 期 ， 这 主要 依赖 数据 的 价值 
和 给 定时 间 里 加 密 数 据 的 数量 。 每 秒 千 兆 位 的 通信 和 链 路 所 用 的 密 钥 自 然 应 该 比 只 有 9600 W 
特 的 调制 解 调 器 所 用 的 密 钥 更 换 得 频繁 。 假 定 存在 一 种 有 效 方 法 传送 新 密 钥 ， 那 么 会 话 密 钥 

至 少 每 天 就 得 更 换 。 

密 钥 加 密 密 钥 无 需 频 繁 更 换 ， 因 为 它们 只 是 偶尔 地 (一 天 很 难 用 到 一 次 ) 用 于 密 钥 交 
换 。 这 只 给 密 钥 破 译 者 提供 很 少 的 密 文 分 析 ， 且 相应 的 明文 也 没有 特殊 的 形式 。 然 而 ， 如 采 
密 钥 加 密 密 钥 泄露 ， te i nti ene 
中 ， 密 钥 加 密 密 钥 仅 一 月 或 一 年 更 换 一 次 。 你 必须 在 保存 密 钥 的 潜在 危险 和 分 发 新 密 钥 的 湾 
在 危险 之 间 进 行 权衡 。 

用 来 加 密 保存 数据 文件 的 加 密 密 钥 不 能 经 常 地 变换 。 在 人 们 重新 使 用 文件 前 ,文件 可 
以 加 密 存 储 在 磁盘 上 数 月 或 数 年 ， 每 天 将 它们 解密 ， 再 用 新 的 密 钥 进行 加 密 ， 这 无 论 如 
何 都 不 能 加 强 其 安全 性 ， 这 只 是 给 破译 者 带 来 了 更 多 的 方便 。 一 种 解决 方法 是 每 个 文件 
用 唯一 的 密 钥 加 密 ， 然 后 再 用 密 钥 加 密 密 钥 把 所 有 密 钥 加 密 ， 密 钥 加 密 密 钥 要 么 被 记 住 ， 
要 么 保存 在 一 个 安全 地 点 或 某 个 地 方 的 保险 柜 中 。 当 然 ， 丢 失 该 密 钥 意味 着 丢失 所 有 的 
文件 加 密 密 钥 。 

公开 密 钥 应 用 中 私人 密 钥 的 有 效 期 是 根据 应 用 的 不 同 而 变化 的 。 用 于 数字 签名 和 身份 识 
别 的 私人 密 钥 必须 持续 数 年 〈 甚 至 终身 )， 用 于 抛掷 硬币 协议 的 私人 密 钥 在 协议 完成 之 后 就 
应 该 立即 销毁 。 即 使 期 望 密 钥 的 安全 性 持续 终身 ， 两 年 更 换 一 次 密 钥 也 是 要 考虑 的 。 许 多 网 
络 中 的 私人 密 钥 仅 使 用 两 年 ， 此 后 用 户 必 须 采 用 新 的 私人 密 钥 。 旧 密 钥 仍 需 保密 ， 以 防 用 户 
需要 验证 从 前 的 签名 。 但 是 新 密 钥 将 用 于 新 文件 签名 ， 以 减少 密码 分 析 者 所 能 攻击 的 签名 文 
件数 目 。 


8.11 销毁 密 钥 


如 果 密 钥 必 须 定期 替换 ， 旧 密 钥 就 必须 销毁 。 旧 密 钥 是 有 价值 的 ， 即 使 不 再 使 用 ， 有 了 
它们 ， 攻 击 者 就 能 读 到 由 它 加 密 的 一 些 旧 消息 。 

密 钥 必须 安全 地 销毁 (参见 10. 9 节 )。 如 果 密 钥 是 写 在 纸 上 的 ， 那 么 必须 切 碎 或 烧 掉 。 
小 心地 使 用 高 质量 切 碎 机 ， 市 面 上 有 许多 劣质 的 切 碎 机 。 本 书 中 的 算法 对 花费 上 百 万 美元 及 
上 百 万 年 的 穷 举 攻击 是 安全 的 ， 如 果 攻 击 者 在 你 的 垃圾 中 获取 到 一 包 切 碎 的 文件 碎片 ， 然 后 
支付 某 贫困 县 城 的 100 个 失业 工人 用 每 小 时 10 美 分 的 报酬 让 他 们 用 一 年 的 时 间 将 这 些 碎片 
拼凑 起 来 ， 这 样 重新 找到 密 钥 将 只 需 花 26 000 美元 。 

如 果 密 钥 在 EEPROM 硬件 中 ， 密 钥 应 进行 多 次 重 写 ;如果 在 EPROM 或 PROM 硬件 
中 ， 芯 片 应 该 被 打 碎 成 小 碎片 四 散 开 来 ; 如 果 密 钥 保 存在 计算 机 磁盘 里 ， 应 多 次 重 写 履 盖 磁 
盘存 储 的 实际 位 置 (参见 10. 9 节 ) 或 将 磁盘 切 碎 。 

一 个 潜在 的 问题 是 ， 在 计算 机 中 密 钥 可 以 很 容易 地 进行 复制 和 存储 在 多 个 地 方 。 对 于 自 
己 进 行内 存 管理 的 任何 计算 机 ， 不 断 地 接收 和 刷新 内 存 的 程序 ， 这 个 问题 更 加 严重 ， 没 有 办 
法 保证 计算 机 中 密 钥 被 安全 地 销毁 ， 特 别 是 在 计算 机 操作 系统 控制 销毁 过 程 的 情况 下 。 并 慎 
的 做 法 是 : 写 一 个 特殊 的 删除 程序 ， 让 它 查 看 所 有 磁盘 ， 寻 找 在 未 用 存储 区 上 的 密 钥 副本 ， 
并 将 它们 删除 。 还 要 记 住 删除 所 有 临时 文件 或 交换 文件 的 内 容 。 
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8.12 公开 密 钥 的 密 钥 管理 

公开 密 钥 密码 术 使 得 密 钥 较 易 管 理 ， 但 它 有 自己 的 问题 。 无 论 网 络 上 有 多 少 人 ， 每 个 人 
只 有 一 个 公开 密 钥 。 如 果 Alice 想 传 送 一 条 消息 给 Bob， 她 必须 知道 Bob 的 公开 密 钥 。 这 有 
以 下 几 种 方式 : 

。 她 可 以 从 Bob 处 获得 。 

。 她 可 以 从 中 央 数 据 库 获得 。 

。 她 可 以 从 她 自己 的 私人 数据 库 获得 。 

2. 5 节 讨 论 了 基于 Mallory 用 自己 的 密 钥 代替 Bob 的 密 钥 引起 的 针对 公开 密 钥 密码 术 的 
多 种 可 能 的 攻击 。 该 攻击 是 Alice 想 给 Bob 发 送信 息 ， 她 进入 公开 密 钥 数据 库 获 得 Bob 的 公 
FEH. {AE Mallory 偷偷 摸 摸 地 用 他 自己 的 密 钥 代 替 了 Bob 的 密 钥 。 (如果 Alice 直接 向 
Bob 询问 ，Mallory 必 须 截取 Bob 的 通信 ， 并 用 他 的 密 钥 取代 Bob 的 密 钥 .) Alice 使 用 Mal- 
lory 的 密 钥 加 密 她 的 消息 ， 并 传 给 Bob, Mallory 窃听 到 消息 ， 破 译 并 阅读 该 消息 。 他 重新 
用 Bob 的 密 钥 加 密 ， 并 传 给 Bob，Alice 与 Bob ABBR Be TE HK FF 


8. 12.1 公开 密 钥 证 书 


公开 密 钥 证 书 (public-key certificate) 是 某 人 的 公开 密 钥 ， 由 一 个 值得 信赖 的 人 签发 。 
证 书 可 用 来 防范 用 一 个 密 钥 蔡 换 男 一 个 密 钥 的 攻击 。Bob 的 证 书 在 公开 密 钥 数 据 库 中 包 
含 比 他 的 公开 密 钥 更 多 的 数据 ， 它 含有 关于 Bob 姓名 、 地 址 等 信息 ， 并 由 Alice 相信 的 某 个 
人 签名 : Trent (通常 作为 证 书 机 关 (Certification Authority，CA))。 通 过 对 Bob 的 密 钥 及 
其 有 关 信 息 签名 ，Trent 证 实 有 关 Bob 的 信息 是 正确 的 ， 且 公开 密 钥 属于 Bob 而 非 其 他 人 。 
证 书 在 许多 公开 密 钥 协 议 ， 如 PEM” (参见 24. 10 节 ) 和 XX. 509° (AW 24.9 节 ) 中 扮 
演 了 重要 的 角色 。 

这 类 系统 存在 一 个 复杂 的 非 密 码 学 问题 : 证 书 到 底 意味 着 什么 ? 或 者 换个 角度 ， 谁 值得 
信任 ， 他 给 谁 发 证 书 ? 任何 人 都 可 以 给 其 他 人 签发 证 书 ， 但 总 得 需要 一 些 办 法 过 滤 掉 那些 值 
得 怀疑 的 证 书 : 例如 ， 由 其 他 公司 的 CA 给 公司 雇员 签发 的 证 书 。 一 般 情况 下 ， 一 个 证 书 链 
是 这 样 传送 信任 的 : 一 个 唯一 的 可 信任 的 实体 认证 多 个 可 信任 的 代理 机 构 ， 这 些 机 构 再 认证 
一 些 公 司 CA， 最 后 这 些 公 司 的 CA 再 认证 他 们 的 雇员 。 

下 面 是 一 些 值得 思考 的 问题 : 

。 通过 某 人 的 证 书 能 够 对 他 的 身份 信任 到 什么 程度 ? 

© 某 人 与 给 他 公开 密 钥 证 书 的 CA 之 间 是 什么 关系 ?怎样 从 证 书 中 断定 这 种 关系 ? 

。 谁 可 以 被 信任 作为 证 书 链 的 最 高 层 : 唯一 的 可 信任 实体 ? 

。 证 书 链 可 以 有 多 长 ? 

理想 的 情况 是 ，Bob 在 CA 签发 证 书 之 前 遵循 某 种 鉴别 程序 。 另 外 ， 各 种 时 间 标 记 或 证 
书 有 效 期 对 防止 密 钥 泄 露 都 是 很 重要 的 "1 。 

使 用 时 间 标 记 远 远 不 够 。 密 钥 或 者 因为 泄露 或 者 因为 管理 的 原因 在 没有 到 期 之 前 就 已 经 
无 效 。 所 以 ，CA 保存 一 个 合法 的 证 书 清单 很 重要 ， 这 样 用 户 就 可 以 定期 查看 它 。 密 钥 撤 销 
仍然 是 很 难 解决 的 问题 。 

使 用 一 个 公开 密 钥 /私人 密 钥 对 仍然 不 够 。 当 然 ， 任 何 好 的 公开 密 钥 密码 的 实现 需要 把 
加 密 密 钥 和 数字 签名 密 钥 分 开 。 分 离 密 钥 要 考虑 到 不 同 的 安全 级 别 、 有 效 期 、 备 份 过 程 等 。 
有 人 或 许 用 存储 在 智能 卡 中 的 2048 位 的 密 钥 给 消息 签名 ， 并 能 保密 20 年 ， 然 而 他 或 许 用 存 
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储 在 计算 机 中 的 只 能 保密 6 个 月 的 768 位 的 密 钥 给 它 加 密 。 

同样 ， 单 独 一 对 加 密 和 签名 密 钥 还 是 不 够 的 。 与 身份 证 一 样 ， 私 人 密 钥 证 明了 一 种 关 
系 ， 而 人 不 止 有 一 种 关系 : Alice 分 别 可 以 以 私人 名 义 、Monolith 公司 的 副 总 裁 以 及 组 织 的 
主席 名 义 给 某 个 文件 签名 。 其 中 有 些 密 钥 比 其 他 的 密 钥 更 有 价值 ， 所 以 它们 应 该 更 好 地 保 
P. Alice 必须 将 工作 密 钥 的 备份 存储 在 公司 的 安全 官 那里 ， 但 她 并 不 想 公 司 拥有 她 用 来 对 
抵押 契 据 签名 的 密 钥 。 就 像 她 口袋 里 有 多 把 钥匙 一 样 ，Alice 也 将 拥有 多 个 密码 密 钥 。 


8. 12.2 分 布 式 密 钥 管 理 


在 有 些 情况 下 ， 进 行 集中 密 钥 管理 是 不 可 能 的 ， 或 许 没 有 Alice 和 Bob 都 相信 的 CA, 
或 许 他 们 只 相信 他 们 的 朋友 ， 或 许 他 们 谁 都 不 相信 。 

用 于 PGP (参见 24. 12 节 ) 的 分 布 式 密 钥 管 理 ， 通 过 介绍 人 Cintroducer) 解决 了 此 问 
题 。 介 绍 人 是 系统 中 对 他 们 朋友 的 公开 密 钥 签 名 的 其 他 用 户 。 例 如 ， 当 Bob 产生 他 的 公开 
密 钥 时 ， 把 副本 给 他 的 朋友 Carol 和 Dave， 他 们 认识 Bob， 两 人 分 别 在 Bob 的 密 钥 上 签名 并 
给 Bob 一 个 签名 副本 。 现 在 ， 当 Bob 把 他 的 密 钥 送 给 Alice 这 个 新 来 者 时 ， 他 就 将 两 个 介绍 
人 的 签名 一 起 给 Alice。 如 果 Alice 也 认识 并 相信 Carol， 她 有 理由 相信 Bob 的 密 钥 是 合法 
的 ; 如 果 Alice 不 认识 和 信任 Carol 和 Dave， 她 也 有 理由 认为 Bob 的 密 钥 有 效 ;如果 她 既 不 
认识 Carol 也 不 认识 Dave， 便 没有 理由 相信 Bob 的 密 钥 。 

随 着 时 间 的 推移 ，Bob 将 收集 更 多 的 介绍 人 人。 如果 Alice 和 Bob 在 同一 个 社交 圈子 里 ， 
Alice 很 可 能 会 认识 Bob 的 介绍 人 。 为 了 防止 Mallory 替换 Bob 的 密 钥 ， 介 绍 人 必须 在 签名 
前 确信 密 钥 是 属于 Bob 的 。 也 许 介 绍 人 需要 面对面 地 收 到 密 钥 或 者 通过 电话 证 实 它 。 

此 机 制 的 好 处 是 不 需要 人 人 都 得 相信 的 CA。 缺 点 就 是 当 Alice 接收 到 Bob 的 密 钥 时 ， 
并 不 能 保证 她 认识 介绍 人 中 的 哪 一 个 ， 因 此 就 不 能 保证 她 相信 密 钥 的 合法 性 。 
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算法 类 型 和 模式 


对 称 密码 算法 有 两 种 基本 类 型 : 分 组 密码 和 序列 密码 。 分 组 密码 〈block cipher) 是 在 
明文 分 组 和 密 文 分 组 上 进行 运算 一 一 通常 分 组 长 为 64 位， 但 有 时 更 长 ;序列 密码 (stream 
cipher) 是 在 明文 和 密 文 数据 序列 的 1 位 或 1 字 节 (有 时 其 至 是 一 个 32 位 的 字 ) 上 进行 运 
算 。 利 用 分 组 密码 ， 相 同 的 明文 用 相同 的 密 钥 加 密 永 远 得 到 相同 的 密 文 ; 利用 序列 密码 ， 每 
次 对 相同 的 明文 位 或 字 节 加 密 都 会 得 到 不 同 的 密 文 位 或 字 节 。 

密码 模式 (mode) 通常 由 基本 密码 、 一 些 反 馈 和 一 些 简 单 运算 组 合 而 成 。 运 算 很 简单 ， 
因为 安全 性 依赖 于 基础 的 密码 ， 而 不 依赖 模式 。 强 调 一 点 ， 密 码 模式 不 会 损害 算法 的 安 
全 性 。 

还 有 其 他 的 安全 考虑 事项 : 明文 的 模式 应 当 隐 藏 ， 输入 的 密 文 应 当 是 随机 的 ;通过 向 密 
文中 引入 错误 来 对 明文 进行 控制 很 困难 ; 以 及 可 以 用 同一 个 密 钥 加 密 多 个 信息 。 这 些 问 题 将 
在 以 后 章节 里 详细 讨论 。 

效率 是 另 一 个 值得 考虑 的 事情 。 模 式 的 效率 不 应 该 明显 地 低 于 基础 的 密码 。 在 某 些 情 况 
下 ， 密 文 和 明文 的 大 小 相同 非常 重要 。 

第 三 个 要 考虑 的 事情 是 容错 。 一 些 应 用 需要 并 行 加 密 或 解密 ， 而 其 他 一 些 则 需要 能 够 尽 
可 能 多 地 进行 预 处 理 。 无 论 怎样 ， 在 丢失 或 增加 位 的 密 文 序 列 中 ， 解 密 过 程 能 够 从 位 错误 中 
恢复 很 重要 。 正 如 我 们 将 看 到 的 ， 不 同 的 模式 将 有 不 同 的 特征 子 集 。 


9.1 电子 密码 本 模式 


电子 密码 本 〈Electronic Code Book，ECB) 模式 是 使 用 分 组 密码 最 明显 的 方式 : 一 个 明文 
分 组 加 密 成 一 个 密 文 分 组 。 因 为 相同 的 明文 分 组 永远 被 加 密 成 相同 的 密 文 分 组 ， 所 以 在 理论 上 
制作 一 个 包含 明文 和 相应 密 文 的 密码 本 是 可 能 的 。 然 而 ， 如 果 分 组 的 大 小 是 64 位 ， 那 么 密码 
本 就 有 2” 项 一 一 对 预计 算 和 存储 来 说 太 大 了 。 记 住 ， 每 一 个 密 钥 有 一 个 不 同 的 密码 本 。 

这 是 最 容易 的 运行 模式 。 每 个 明文 分 组 可 被 独立 地 进行 加 密 。 不 必 按 次 序 进 行 ， 可 以 先 
加 密 中 间 10 个 分 组 ， 然 后 是 尾部 分 组 ， 最 后 加 密 最 开始 的 分 组 。 这 对 加 密 随机 存 取 的 文件 ， 
如 数据 库 ， 是 非常 重要 的 。 如 果 一 个 数据 库 用 ECB 模式 进行 加 密 ， 那 么 任意 一 个 记录 都 可 
以 独立 于 其 他 记录 被 添加 、 删 除 或 者 解密 一 一 假定 记录 是 由 离散 数量 的 加 密 分 组 组 成 。 如 果 
你 有 多 个 加 密 处 理 器 ， 当 然 处 理 是 并 行 的 ， 那 么 它们 就 可 以 独立 地 对 不 同 的 分 组 进行 加 密 或 
解密 而 不 会 相互 干涉 。 

ECB 模式 所 带 来 的 问题 是 : 如 果 密 码 分 析 者 有 很 多 消息 的 明文 和 密 文 ， 那 他 就 可 在 不 
知道 密 钥 的 情况 下 编辑 密码 本 。 在 许多 实际 情况 中 ， 消 息 格 式 趋 于 重复 ， 不 同 的 消息 可 能 会 
有 一 些 位 序列 是 相同 的 。 计 算 机 产生 的 消息 ， 如 电子 邮件 ， 可 能 有 固定 的 结构 。 这 些 消 息 在 
很 大 程度 上 是 元 余 的 或 者 有 一 个 很 长 的 0 和 空格 组 成 的 字符 串 。 

如 果 密 码 分 析 者 知道 了 明文 5e081bc5 被 加 密 成 密 文 7ea593a4， 那 么 无 论 它 什么 时 候 出 
现在 另 一 段 消息 中 ， 他 都 能 立即 将 其 解密 。 如 果 加 密 的 消息 具有 一 些 元 余 信 息 ， 那 么 这 些 信 
息 趋向 于 在 不 同 消息 的 同一 位 置 出 现 ， 密 码 分 析 者 可 获得 很 多 信息 。 然 后 他 就 可 以 对 明文 发 
动 统计 学 攻击 ， 而 不 必 考 虑 密 文 分 组 的 长 度 。 
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消息 的 开头 和 结尾 是 致命 之 处 ， 因 为 那里 规定 了 消息 头 和 消息 尾 ， 其 中 包含 了 关于 发 送 
者 、 接 收 者 、 日 期 等 信息 。 这 个 问题 有 时 叫做 格式 化 开头 (stereotyped beginning) 和 格式 
化 结尾 (stereotyped ending)。 

该 模式 好 的 一 面 就 是 用 同一 个 密 钥 加 密 多 个 消息 时 不 会 有 危险 。 实 际 上 ， 每 一 个 分 组 可 被 
看 做 是 用 同一 个 密 钥 加 密 的 单独 消息 。 如 果 密 文中 数据 位 出 错 ， 解 密 时 ， 就 会 使 得 相对 应 的 整 
个 明文 分 组 解密 错误 ， 但 它 不 会 影响 其 他 明文 。 然 而 ， 如 果 密 文中 偶尔 丢失 或 添加 一 些 数据 
位 ， 那 么 整个 密 文 序列 将 不 能 正确 地 解密 ， 除 非 有 某 种 帧 结构 能 够 重新 排列 分 组 的 边界 。 


填充 


大 多 数 消 息 并 不 是 刚好 分 成 64 位 (或 者 任意 长 度 ) 的 加 密 分 组 ， 它 们 通常 在 尾部 有 一 
个 短 分 组 。ECB 要 求 是 64 位 分 组 。 处 理 该 问题 的 一 个 方法 是 填充 (padding). 
用 一 些 有 规律 的 模式 (0、1 或 者 0 和 1 交替 ) 把 最 后 的 分 组 填充 成 一 个 完整 的 分 组 。 
如 果 你 想 在 解密 后 将 填充 位 去 掉 ， 就 在 最 后 一 个 分 组 的 最 后 一 字 节 中 加 上 填充 字 节 的 数目 。 
例如 ， 假 定 分 组 的 大 小 是 64 位 ， 且 最 后 一 个 分 组 含有 3 字 节 (24 位 )。 也 就 是 说 ， 需 要 填 
充 5 字 节 以 使 最 后 一 个 分 组 达到 64 位 ， 这 时 就 要 添加 4 个 字 节 的 0 然后 再 用 5 填充 最 后 一 
个 字 节 。 解 密 后 删除 最 后 分 组 的 后 面 5 个 字 节 。 因 为 该 方法 能 正确 工作 ， 所 以 每 一 个 消息 都 
必须 填充 。 即 使 明文 以 分 组 的 边界 结束 ， 也 必须 添加 一 个 整 分 组 。 可 以 用 一 个 文件 结束 字符 
表示 明文 的 最 后 一 个 字 节 ， 然 后 在 该 字符 后 面 进行 填充 。 
图 9-1 是 一 个 可 供 选 择 的 方案 ， 称 为 密 文 挪 用 (ciphertext stealing)“, P,_, 是 最 后 一 
个 完整 的 明文 分 组 ，P, 是 最 后 一 个 短 的 明文 分 组 。C,_1 是 最 后 一 个 完整 的 密 文 分 组 ，C。 是 
最 后 一 个 短 的 密 文 分 组 。C' 仅 作为 一 个 中 间 结 果 ， 并 不 是 传输 密 文 的 一 部 分 。 
加 密 
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图 9-1 ECB 模式 中 的 密 文 挪 用 


9.2 分 组 重 放 

ECB 模式 最 严重 的 问题 是 敌人 可 以 在 不 知道 密 钥 的 情况 下 修改 被 加 密 过 的 消息 ， 用 这 
种 办 法 可 以 欺骗 指定 的 接收 者 。 最 早 在 文献 [291] 中 讨论 过 这 个 问题 。 

为 了 说 明 这 个 问题 ， 考 察 在 不 同 银行 的 账号 之 间 进 行 资金 往来 的 资金 转账 系统 。 为 使 计 
算 机 系统 方便 有 效 ， 银 行 制 定 了 一 个 标准 的 消息 格式 用 来 转账 ， 格 式 如 下 : 


银行 1: 发 送 者 1.5 个 分 组 
银行 2: 接收 者 1.5 个 分 组 
储户 姓名 6 个 分 组 
储户 账号 2 个 分 组 


存款 金额 1 个 分 组 
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上 述 的 一 个 “分 组 ”对 应 一 个 8 字 节 的 加 密 分 组 。 这些 消 息 用 ECB 模式 下 的 某 个 分 组 
算法 进行 加 密 。 

Mallory 正在 窃听 银行 间 〈 如 Alice 所 在 的 银行 与 Bob 所 在 的 银行 ) 的 通信 线路 ， 他 可 
”以 利用 这 些 信 息 致富 。 首 先 ， 他 用 自己 的 计算 机 记录 下 所 有 从 Alice 的 银行 到 Bob 的 银行 的 
加 密 消 息 ， 接 着 他 从 Alice 的 银行 传送 100 美元 到 他 在 Bob 的 银行 的 账户 上 。 然 后 ， 他 又 重 
复 该 过 程 。 利 用 计算 机 记录 的 信息 ， 他 可 以 找到 一 对 完全 相同 的 消息 ， 这 些 消 息 就 是 授权 将 
100 美元 转 到 他 的 账户 上 。 如 果 发 现 有 多 于 一 对 的 消息 相同 〈 实 际 生活 中 更 有 可 能 )， 他 就 
进行 另 一 个 款项 转移 ， 并 将 结果 记录 下 来 ， 最 终 他 能 分 离 出 授权 他 的 款项 转移 的 消息 。 

现在 他 可 以 按照 他 的 意愿 在 通信 和 链 路 中 插入 消息 ， 每 次 他 给 Bob 银行 发 送 一 则 消息 ， 
就 有 100 美元 进入 他 的 账户 ， 当 两 个 银行 核对 他 们 的 往来 账目 《总 有 那么 一 天 )， 他 们 将 注 
意 到 幽灵 般 的 转 款 授权 现象 。 但 如 果 Mallory 聪明 的 话 ， 他 早 就 将 钱 款 取 出 ， 并 逃 到 没有 引 
滤 法 律 的 中 南美 洲 国家 去 了 ， 并 且 他 可 在 许多 不 同 的 银行 用 同样 的 手法 每 次 搞 到 远 多 于 100 








美元 的 款项 。 

乍 看 起 来 ， 银 行 可 以 通过 在 消息 中 附加 时 间 标 记 来 防止 这 种 情况 的 发 生 : 
日 期 /时间 标记 1 She 

银行 1: 发 送 者 1.5 4}41 

银行 2: 接收 者 1.5 分 组 

储户 姓名 6 474 

储户 账号 2 分 组 

存款 金额 1 分 组 








用 这 种 系统 可 以 很 容易 识别 两 条 完全 相同 的 消息 。 尽 管 如 此 ， 使 用 一 种 叫做 分 组 重 放 
(block replay) 的 技术 ，Mallory 仍然 可 以 发 财 。 见 图 9-2, Mallory 可 以 挑选 8 个 与 他 的 名 
字 和 账号 相对 应 的 密 文 分 组 : 分 组 5 到 分 组 12。 这 时 一 阵 恶 魔 般 的 笑 声 传 来 ，Mallory 已 做 
好 了 准备 。 
































分 组 号 
1 | 2 3 4 5 6 7 8 9 
T 发 送 银行 | 接收 银行 储户 姓名 
字段 


图 9-2 一 个 记录 实例 的 加 密 分 组 


他 截取 从 银行 1 到 银行 2 的 随机 消息 ， 并 用 他 的 名 字 和 账号 替代 分 组 5 和 分 组 12 之 间 
相应 的 位 消息 ， 然 后 将 其 发 往 银行 2。 他 不 必 知 道 原先 的 储户 ， 甚 至 不 必 知 道 那 个 账号 ( 虽 
然 他 可 以 通过 比较 他 窜改 后 存 人 他 账户 金额 的 消息 来 确定 对 应 于 同样 金额 的 加 密 分 组 );， 他 
只 需 简单 地 将 姓名 和 账号 换 上 他 自己 的 ， 然 后 查看 他 的 进账 就 行 了 。 

银行 将 花费 一 天 以 上 的 时 间 才 能 发 现 。 当 他 们 每 天 核对 账目 时 ， 一 切 都 正常 ， 直 到 某 一 
天 合法 客户 注意 到 钱 最 终 没 存 进 他 的 账户 ， 或 什么 时 候 某 人 意外 地 发 现 Mallory 的 账户 出 奇 
地 活跃 ， 银 行 才 会 发 现 问 题 。Mallory 并 不 痢 ， 到 那 时 他 将 取消 他 的 账户 ， 改 名 换 姓 在 阿 根 
廷 买 了 一 蛋 别 墅 。 

银行 可 通过 频繁 地 改变 密 钥 来 尽 可 能 地 降低 风险 。 但 这 只 是 意味 着 Mallory 的 行动 要 更 
加 迅速 。 然 而 ， 增 加 一 个 MAC 字段 可 解决 此 问题 。 即 使 这 样 ， 这 仍然 是 ECB 模式 的 根本 
性 问题 。Mallory 仍 可 以 按 自己 的 意愿 或 删除 或 重复 或 改换 密 文 分 组 。 该 问题 的 解决 方法 是 
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采用 称 为 分 组 链接 (chaining) 的 技术 。 


9.3 密码 分 组 链接 模式 


链接 将 一 种 反馈 (feedback) 机 制 加 入 分 组 密码 中 : 将 前 一 个 分 组 的 加 密 结果 反馈 到 当 
前 分 组 的 加 密 中 。 换 句 话 说， 每 个 分 组 用 来 修改 下 一 个 分 组 的 加 密 。 每 个 密 文 分 组 不 仅 依赖 
于 产生 它 的 明文 分 组 ， 而 且 还 依赖 于 所 有 前 面 的 明文 分 组 。 

在 密码 分 组 链接 〈Cipher Block Chaining，CBC) 模式 中 ， 明 文 被 加 密 之 前 要 与 前 面 的 
密 文 进行 异 或 运算 。 图 9-3a 展示 了 CBC 是 如 何 工 作 的。 第 一 个 分 组 明文 被 加 密 后 ， 其 结果 
存储 在 反馈 寄存 器 中 。 在 下 一 个 明文 分 组 加 密 之 前 ， 它 将 与 反馈 寄存 器 进行 异 或 作为 下 一 次 
加 密 的 输入 ， 其 结果 又 被 存储 在 反馈 寄存 器 中 ， 再 与 下 一 个 明文 分 组 进行 异 或 ， 如 此 这 般 直 
到 消息 结束 。 每 个 分 组 的 加 密 都 依赖 于 所 有 前 面 的 分 组 。 

解密 一 样 简单 易 行 ( 见 图 9-3b) 。 第 一 个 分 组 密 文 被 正常 地 解密 ， 并 将 该 密 文 存 人 反馈 
寄存 器 。 在 下 一 个 分 组 被 解密 后 ， 将 它 与 反馈 寄存 器 中 的 结果 进行 异 或 。 接 着 ， 下 一 个 密 文 
分 组 被 存 人 反馈 寄存 器 ， 如 此 下 去 直到 整个 消息 结束 。 


Pin P, Pin 














Ci Ci Ca Pi P; Piss 
a) CBC 加 密 b) CBC 解 密 


图 9-3 密码 分 组 链接 模式 
用 数学 语言 表示 为 : 

E: Ee Ex CP; Ca) 

P; = Ci 由 Dx (C;) 


9.3.1 初始 化 向 量 


CBC 模式 仅 在 前 面 的 明文 分 组 不 同时 ， 才 能 将 完全 相同 的 明文 分 组 加 密 成 不 同 的 密 文 
分 组 ， 因 此 两 个 相同 的 消息 仍 将 加 密 成 相同 的 密 文 。 更 糟糕 的 是 ， 任 意 两 则 消息 在 它们 的 第 
一 个 不 同 之 处 出 现 前 ， 将 被 加 密 成 相同 的 结果 。 

有 些 消息 有 相同 的 开头 : 如 一 封 信 的 信 头 、“ 发 件 人 ” 行 或 其 他 东西 。 虽 然 使 用 分 组 重 
放 是 不 可 能 的 ， 但 这 些 相 同 的 开头 的 确 给 密码 分 析 者 提供 了 一 些 有 用 的 线索 。 

防止 这 种 情况 发 生 的 办 法 是 用 加 密 随机 数据 作为 第 一 个 分 组 ， 这 个 随机 数据 分 组 称 为 初 
始 化 向 量 (Initialization Vector，IV) ， 也 称 为 初始 化 变量 或 初始 链接 值 。IV 没有 任何 意义 ， 
它 只 是 使 每 个 消息 唯一 化 。 当 接收 者 进行 解密 时 ， 只 是 用 它 来 填充 反馈 寄存 器 ， 然 后 将 忽略 
它 。 时 间 标 记 是 一 个 好 的 IV， 当 然 也 可 以 用 一 些 随 机 位 串 作 为 TV 。 
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使 用 IV 后 ， 完 全 相同 的 消息 可 以 被 加 密 成 不 同 的 密 文 消息 。 这 样 ， 窃 听 者 企图 再 用 分 
组 重 放 进 行 攻 击 是 完全 不 可 能 的 ， 并 且 制 造 密码 本 将 更 加 困难 。 尽 管 要 求 用 同一 个 密 钥 加 密 
的 消息 所 使 用 的 IV 是 唯一 的 ， 但 这 也 不 是 绝对 的 。 

IV 不 需要 保密 ， 它 可 以 明文 形式 与 密 文 一 起 传送 。 如 果 觉 得 这 样 错 了 ， 那 就 看 看 如 下 
的 讨论 : 假设 有 一 个 消息 的 各 个 分 组 为 Bl Bz, 0, Bio B 用 IV 加密 ，B; 使 用 Bi 的 密 
SHEA IV 进行 加 密 ，B; 用 B 的 密 文 作为 IV 进行 加 密 ， 以 此 类 推 。 所 以 ， 如 果 有 个 分 
组 ， 即 使 第 一 个 IV 是 保密 的 ， 仍 然 有 n 一 1 个 IV 暴露 在 外 。 因 此 没有 理由 对 IV 进行 保密 ， 
它 只 是 一 个 虚拟 密 文 分 组 一 一 你 可 以 将 它 看 做 链接 开始 的 Bu 分 组 。 





9. 3.2 填充 

就 像 ECB 模式 一 样 进行 填充 ,但 在 许多 应 用 中 需要 使 密 文 与 明文 有 同样 的 长 度 。 或 许 
明文 加 密 后 就 放 在 内 存 原 来 的 位 置 ， 这 样 你 必须 对 最 后 那 一 个 短 分 组 进行 不 同 的 加 密 处 理 。 
假定 最 后 一 个 分 组 有 j 位 ， 在 对 最 后 一 个 完整 分 组 加 密 之 后 ， 再 对 密 文 进行 加 密 ， 然 后 选择 
加 密 密 文 最 左边 的 7 位 ， 让 其 与 不 完整 分 组 〈 短 分 组 ) 进行 异 或 运算 ， 见 图 9-4。 


P,2 Prey P, (位 长 ) 














图 9-4 CBC 模式 最 后 短 分 组 的 加 密 方法 


这 种 方法 的 不 足 之 处 是 ， 当 Mallory 不 能 恢复 最 后 的 明文 分 组 时 ， 他 可 以 通过 修改 密 文 
的 个 别 位 系统 地 改变 它们 。 如 果 最 后 几 位 密 文 含 有 重要 信息 ， 这 将 是 一 个 弱点 ; 如 果 最 后 几 
位 只 含有 一 些 简单 的 不 重要 的 东西 ， 就 无 关 紧 要 。 

密 文 挪用 是 一 个 很 好 的 方法 〈 见 图 9-5)"“”。P,_1 是 最 后 一 个 完整 的 明文 分 组 ，P， 是 
最 后 短 的 明文 分 组 ，C,-: 是 最 后 一 个 完整 的 密 文 分 组 ，C, 是 最 后 的 短 密 文 分 组 ，C 是 一 
个 中 间 结 果 并 非 传送 密 文 的 一 部 分 。 该 方法 的 好 处 是 明文 消息 的 所 有 位 都 通过 了 加 密 
算法 。 














图 9-5 CBC 模式 下 的 密 文 挪用 
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9.3.3 错误 扩散 


CBC 模式 具有 在 加 密 端 是 密 文 反馈 〈feedback) 和 人 解密 端 是 密 文 前 馈 〈feedforward) 的 性 
质 ， 这 意味 着 要 对 错误 进行 处 理 。 明 文 分 组 中 单独 一 位 发 生 错误 将 影响 密 文 分 组 以 及 其 后 的 所 
有 密 文 分 组 。 这 没什么 大 不 了 ， 因 为 解密 将 反 转 这 种 影响 ， 恢 复 的 明文 也 还 是 那个 错误 。 

密 文 错误 更 加 和 常见。 信道 噪声 或 存储 介质 损坏 很 容易 引起 这 些 错误 。 在 CBC 模式 中 ， 
密 文 中 一 个 单独 位 的 错误 将 影响 一 个 分 组 以 及 恢复 明文 的 1 位 错误 。 含 有 1 位 错误 的 分 组 完 
全 不 能 恢复 ， 随 后 的 分 组 在 同样 的 位 置 有 1 位 错误 。 

密 文 的 小 错误 能 够 转变 成 明文 很 大 的 错误 ， 这 种 现象 叫做 错误 扩散 (error extension), 
它 是 最 烦人 的 事 。 错 误 分 组 的 第 二 分 组 之 后 的 分 组 不 受 错 误 影 响 ， 所 以 CBC 模式 是 自 恢复 
的 〈self-recovering)。 虽 然 两 个 分 组 受到 一 个 错误 的 影响 ， 但 系统 可 以 恢复 并 且 所 有 后 面 的 
分 组 都 不 受 影 响 。CBC 是 用 于 自 同步 方式 的 分 组 密码 的 一 个 实例 ， 但 仅 在 分 组 级 。 

尽管 CBC 能 很 快 将 位 错误 恢复 ,但 它 却 不 能 恢复 同步 错误 。 如 果 从 密 文 序列 中 增加 或 
丢失 1 位， 那么 所 有 后 续 分 组 要 移动 1 位 ， 并 且 解 密 将 全 部 错误 。 任 何 使 用 CBC 的 加 密 系 
统 都 必须 确保 分 组 结构 的 完整 ， 要 么 用 帧 ， 要 么 在 有 多 个 分 组 大 小 的 组 块 中 存储 数据 。 


9.3.4 安全 问题 

一 些 潜在 的 安全 问题 是 由 CBC 的 结构 引起 的 。 首 先 ， 因 为 密码 分 组 都 用 同样 的 方式 影 
响 后 面 的 分 组 ， 所 以 Mallory 可 以 在 加 密 消息 的 后 面 加 上 一 些 分 组 而 不 被 发 觉 。 当 然 ， 它 或 
许 被 解密 成 一 堆 杂 乱 无 用 的 数据 ， 但 在 很 多 情况 下 这 是 不 需要 的 。 

如 果 你 正在 使 用 CBC， 你 应 当 组 织 好 明文 以 便 弄 清楚 消息 在 何 处 结束 ， 并 且 能 检测 出 
额外 附加 的 分 组 。 

HK. Mallory 可 以 通过 改变 一 个 密 文 分 组 ,控制 其 余 解 密 的 明文 分 组 。 例如， 如 果 
Mallory 切换 一 个 密 文 位 ， 那 么 就 使 得 整个 密 文 分 组 将 不 能 被 正确 解密 ， 其 后 的 分 组 在 相应 
的 同一 位 置 出 现 1 位 错误 。 在 很 多 情况 下 这 是 所 需要 的 。 整 个 明文 消息 应 当 包 括 某 些 控 制 多 
余 或 鉴别 。 

最 后 ， 尽 管 通过 链接 可 将 明文 的 模式 隐藏 起 来 ， 但 若 消息 很 长 则 仍然 有 一 定 的 模式 。 由 
生日 悖 论 可 以 预知 2”“ 个 分 组 后 就 有 完全 相同 的 分 组 ， 其 中 m 为 分 组 的 大 小 。 对 一 个 64 位 
的 分 组 ， 约 为 34GB。 当 消息 必须 足够 长 时 ， 才 有 这 样 的 问题 。 


9.4 序列 密码 算法 

序列 密码 算法 将 明文 逐 位 转换 成 密 文 。 该 算法 最 简单 的 应 用 见 图 9-6。 密 钥 序列 发 生 器 
(keystream generator， 也 称 为 滚动 密 钥 发 生 器 ) 输出 一 系列 位 序列 : Kis Kz, Kg, os 
K;. 密 钥 序列 (也 称 为 滚动 密 钥 ) 与 明文 位 序列 P,, P,, P35 +, P, 进行 异 或 运算 产生 密 
文 位 序列 。 


G= P, ® Ka 
在 解密 端 ， 密 文 位 序列 与 完全 相同 的 密 钥 序列 异 或 恢复 明文 序列 。 
P; = G: ® K; 


由 于 
P,®K;, @K; =P, 
所 以 该 方式 是 正确 的 。 
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发 生 器 








密 铀 序列 | 大 
P, 明文 密 文 个 明文 
加 密 C: hee 
图 9-6 序列 密码 


系统 的 安全 性 完全 依靠 密 钥 序 列 发 生 器 的 内 部 机 制 。 如 果 它 的 输出 是 无 穷 的 0 序列 ， 那 
么 密 文 就 是 明文 ， 这 样 整个 系统 一 文 不 值 ， 如 果 它 输出 的 是 一 个 周期 性 的 16 位 模式 ， 那 么 
该 算法 仅 是 一 个 可 忽略 安全 性 的 异 或 运算 (参见 1.4 节 ); 如 果 它 的 输出 是 一 系列 无 穷 的 随 
机 位 序列 〈 是 真正 的 随机 ， 不 是 伪 随 机 一 一 参见 2.8 节 )， 那 么 就 有 一 次 一 密 乱 码 本 和 非常 
完美 的 安全 。 

实际 的 序列 密码 算法 的 安全 性 依赖 于 简单 的 异 或 运算 和 一 次 一 密 乱 码 本 。 密 钥 序 列 发 生 
器 产生 的 看 似 随 机 的 密 钥 序列 实际 上 是 确定 的 ， 在 解密 的 时 候 能 很 好 地 将 其 再 现 。 密 钥 序 列 
发 生 器 输出 的 密 钥 越 接近 随机 ， 对 密码 分 析 者 来 说 就 越 困 难 。 

然而 ， 如 果 密 钥 序 列 发 生 器 每 次 都 产生 同样 的 密 钥 序列 ， 对 攻击 来 说 ， 破 译 该 算法 就 容 
易 了 。 举 例 说 明 为 什么 。 

如 果 Eve 得 到 一 份 密 文 和 相应 的 明文 ， 她 就 可 以 将 两 者 异 或 恢复 出 密 钥 序列 。 或 者 ， 
如 果 她 有 两 个 用 同一 个 密 钥 序列 加 密 的 密 文 ， 她 就 可 以 让 两 者 异 或 得 到 两 个 明文 相互 异 或 产 
生 的 消息 。 这 是 很 容易 破译 的 ， 接 着 她 就 可 以 用 明文 与 密 文 异 或 得 出 密 钥 序 列 。 

现在 ， 无 论 她 拦截 到 什么 密 文 消息 ， 她 都 可 以 用 她 所 拥有 的 密 钥 序列 进行 解密 。 另 外 ， 
她 还 可 以 解密 并 阅读 以 前 截获 的 消息 。 一 旦 Eve 得 到 一 个 明文 / 密 文 对 ， 她 就 可 以 读 懂 任何 
东西 了 。 

这 就 是 为 什么 所 有 序列 密码 也 有 密 钥 的 原因 。 密 钥 序 列 发 生 器 的 输出 是 密 钥 的 函数 。 这 
样 ， 即 使 Eve 有 一 个 明文 / 密 文 对 ,但 她 只 能 读 到 用 特定 密 钥 加 密 的 消息 。 更 换 密 钥 ， 攻 击 
者 就 不 得 不 重新 分 析 。 序 列 密码 算法 对 加 密 那 些 
永 不 结束 的 通信 数据 序列 特别 有 用 ， 如 两 台 计 算 
机 之 间 的 T-1 连接 。 

密 钥 序列 发 生 器 有 三 个 基本 组 成 部 分 〈 见 
图 9-7) 。 内 部 状态 描述 了 密 钥 序 列 发 生 器 的 当前 
状态 。 两 台 密 钥 序列 发 生 器 如 果 有 相同 的 密 钥 和 
内 部 状态 ， 那 么 就 会 产生 相同 的 密 钥 序列 。 输 出 
函数 处 理 内 部 状态 ， 并 产生 密 钥 序列 ; 下 一 状态 ， 
函数 处 理 内 部 状态 ， 并 产生 新 的 内 部 状态 。 图 9-7” 密 钥 序列 发 生 器 内 部 机 理 


95 自 同步 序列 密码 

对 于 自 同步 序列 密码 (self-synchronizing stream cipher)， 密 钥 序 列 的 每 一 位 都 是 前 面 
固定 数量 密 文 位 的 函数 '” 。 军 方 称 之 为 密 文 自动 密 钥 (Cipher Text Auto Key，CTAK)。 
其 基本 思想 是 在 1946 年 成 形 的 [ss71 。 

图 9-8 描述 了 其 工作 原理 。 其 中 ， 内 部 状态 是 前 面 n 位 密 文 的 函数 。 该 算法 的 密码 复杂 
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性 在 于 输出 函数 ， 它 收 到 内 部 状态 后 产生 密 钥 序列 位 。 

















图 9-8 自 同步 密 钥 序 列 发 生 器 

因为 内 部 状态 完全 依赖 前 面 个 密 文 位 ， 所 以 解密 密 钥 序 列 发 生 器 在 收 到 个 密 文 位 后 
自动 与 加 密 密 钥 序列 发 生 器 同步 。 

在 该 模式 的 智能 化 应 用 中 ， 每 个 消息 都 以 随机 的 n 位 标题 开始 。 这 个 标题 被 加 密 、 传 
输 、 解 密 ， 在 ”位 密 文 之 前 整个 解密 是 不 正确 的 ， 直 到 两 个 密 钥 序列 发 生 器 同步 。 

自 同步 密码 的 缺点 是 错误 扩散 。 如 果 传 输 中 一 个 密 文 位 被 帘 改 ,解密 密 钥 序列 发 生 器 就 
有 个 密 钥 序 列 位 不 能 正确 产生 。 因 此 ，1 位 密 文 错误 就 会 导致 a 位 相应 的 明文 错误 ， 直 到 
内 部 状态 中 不 再 有 该 错误 位 。 


安全 问题 

自 同步 序列 密码 算法 同样 对 回放 攻击 很 敏感 。Mallory 先 记 录 一 些 密 文 位 ， 一段 时 间 后 
他 就 用 这 些 记录 代替 当前 数据 序列 。 在 一 些 无 用 的 信息 过 后 ， 当 接收 端 再 同步 时 ， 一 些 旧 的 
密 文 仍 正常 地 解密 。 接 收 端 没有 办 法 知道 它 是 不 是 当前 数据 ， 但 旧 的 数据 则 可 以 被 回放 。 如 
果 不 用 时 间 标 记 ，Mallory 就 可 以 回放 相同 的 信息 (当然 假定 密 钥 还 没 更 换 ) 使 银行 相信 并 
将 大 笔 的 钱 一 遍 又 一 遍地 存 人 他 的 账户 。 在 频繁 再 同步 的 情况 下 ， 该 方案 还 有 其 他 可 利用 的 
漏 Ya (408) ? 


9.6 密码 反馈 模式 


分 组 密码 算法 也 可 以 用 于 自 同步 序列 密码 ， 就 是 所 谓 的 密码 反馈 (Cipher-FeedBack, 
CFB) 模式 。 在 CBC 模式 下 ， 整 个 数据 分 组 在 接收 完 之 后 才能 进行 加 密 。 对 许多 网 络 应 用 
来 说 ， 这 是 一 个 问题 。 例 如 ， 在 一 个 安全 的 网 络 环境 中 ， 当 从 某 个 终端 输入 时 ， 它 必须 把 每 
一 个 字符 马上 传 给 主机 。 当 数据 在 字 节 大 小 的 分 组 里 进行 处 理 时 ，CBC 模式 就 不 能 做 到 了 。 

在 CFB 模式 下 ， 数 据 可 以 在 比分 组 小 的 单元 里 进行 加 密 。 下 面 的 例子 就 是 一 次 加 密 一 
A ASCH 字符 〈 称 为 8 位 CFB)， 这 里 数字 8 没 任何 特殊 性 ， 也 可 以 用 1 位 CFB 一 次 加 密 一 
位 数据 。 尽 管用 完整 的 分 组 加 密 算法 对 单独 一 位 进行 加 密 好 像 也 能 工作 ， 但 用 序列 密码 算法 
更 好 (并 不 提倡 利用 减少 分 组 的 大 小 来 加 快速 度 "*” HH)。 也 可 以 使 用 64 位 CFB 或 者 任意 n 
位 CFB (其 中 小 于 或 等 于 分 组 大 小 )。 

图 9-9 说 明了 64 位 分 组 算法 下 的 8 位 CFB 模式 的 工作 原理 。CFB 模式 下 的 分 组 算法 对 
输入 分 组 大 小 的 队列 进行 操作 。 开 始 ， 该 队列 就 像 在 CBC 模式 下 一 样 用 IV 填充 ， 然后 对 队 
列 进行 加 密 。 加 密 后 最 左 端 的 8 位 与 明文 最 初 的 8 位 字符 异 或 ， 生 成 密 文 最 初 的 8 位 字符 ， 
并 传送 出 去 。 将 这 8 位 移 至 队列 的 最 右 端 ， 然 后 其 他 位 向 左 移动 8 位 ， 最 左 端的 8 位 丢弃 。 
其 他 明文 字符 如 法 炮制 。 解 密 是 一 个 道 过 程 。 在 加 密 和 解密 端 ， 分 组 算法 用 于 其 加 密 模 
式 中 。 
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图 9-9 8 位 密码 反馈 方式 


如 果 算 法 的 分 组 是 nn 位， 那么 ,nn 位 CFB 就 像 〈 见 图 9-10): 
CG = P; OE, (C) Pa P, P, 
P: =C, @ Exr(C,1) 
与 CBC 模式 类 似 ，CFB 模式 将 明文 字符 连接 起 来 以 
使 密 文 依赖 所 有 以 前 的 明文 。 


9.6.1 初始 化 向 量 


为 了 初始 化 CFB 过 程 ， 分 组 算法 的 输入 必须 用 IV 
初始 化 。 就 像 在 CBC 模式 中 使 用 IV 一 样 ， 它 并 不 需要 。。 图 910 位 分 组 算法 下 的 
保密 。 "位 CFB 模 式 

尽管 这 样 ，IV 必须 是 唯一 的 。( 这 是 与 CBC 模式 不 同 的 地 方 ，CBC 模式 中 TV 应 该 唯一 
日 不 是 必须 。) 如 果 在 CFB 模式 下 IV 不 是 唯一 的 ， 密 码 分 析 者 就 可 以 恢复 相应 的 明文 。 对 
不 同 的 消息 ，IV 必须 不 同 。 它 可 以 是 一 个 序列 号 ， 每 一 个 消息 后 递增 ， 以 保证 在 密 钥 有 效 
期 内 不 会 重复 。 对 用 于 存储 的 加 密 数据 ， 它 可 以 是 用 来 查找 数据 的 索引 函数 ，。 





9.6.2 错误 扩散 


在 CFB 模式 中 ， 明 文 的 一 个 错误 就 会 影响 所 有 后 面 的 密 文 以 及 在 解密 过 程 中 改变 它 自 
己 。 密 文 出 现 错误 就 更 有 趣 了 : 首先 ， 密 文中 1 位 的 错误 会 引起 明文 的 一 个 单独 错误 。 除 此 
之 外 ， 错 误 进 入 移 位 寄存 器 ， 导 致密 文 变 成 无 用 的 信息 直到 该 错误 从 移 位 寄存 器 的 另 一 端 移 
出 。 在 8 位 CFB 模式 中 ， 密 文中 1 位 的 错误 会 使 加 密 的 明文 产生 9 字 节 的 错误 。 之 后 ， 系 
统 恢复 正常 ， 后 面 的 密 文 也 重新 正确 解密 。 通 常情 况 下 ， 在 nn 位 CFB 模式 中 一 个 密 文 错误 
会 影响 当前 和 随后 的 m/n 一 1 个 分 组 的 解密 ， 其 中 m 是 分 组 大 小 。 

该 类 错误 扩散 的 一 个 严重 问题 是 ， 如 果 Mallory 熟悉 某 个 正在 传输 的 明文 ， 他 就 可 以 寅 
改 某 个 分 组 里 的 某 些 位 ， 使 它们 解密 成 自己 想 要 的 信息 。 下 一 个 分 组 会 解密 成 “垃圾 ”， 但 
破坏 已 经 发 生 了 。 他 还 可 以 更 改 消息 的 最 后 一 些 位 而 不 被 发 现 。 

CFB 模式 对 同步 错误 来 说 ， 同 样 是 自 恢 复 的 。 错 误 进 入 移 位 寄存 器 就 可 以 使 8 字 节 的 
数据 筑 坏 ， 直 到 它 从 另 一 端 移出 寄存 器 。CFB 是 分 组 密码 算法 用 于 自 同 步 序列 密码 算法 的 
一 个 实例 GAB. 
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9.7 同步 序列 密码 


在 同步 序列 密码 (synchronous stream cipher) 中 密 钥 序列 是 独立 于 消息 序列 而 产生 的 。 
军 方 称 之 为 密 钥 自动 密 钥 (Key Auto-Key，KAK)。 在 加 密 端 ， 密 钥 序 列 发 生 占 庆生 密 钥 序 
列 位 ; 在 解密 端 ， 另 一 个 发 生 器 产生 完全 相同 的 密 钥 序列 位 。 两 个 密 钥 序列 发 生 器 同步 以 
后 ， 这 种 一 致 就 开始 了 。 如 果 其 中 一 个 发 生 器 跳 过 一 个 周期 或 者 一 个 密 文 位 在 传输 过 程 中 丢 
失 了 ， 那 么 错误 后 面 的 每 一 个 密 文字 符 都 不 能 正确 解密 。 

如 果 错 误 不 幸 发 生 了 ， 发送 者 和 接收 者 就 必须 在 继续 进行 之 前 使 两 个 密 钥 序列 发 生 器 重 
新 闻 步 。 他 们 必须 这 样 做 以 保证 密 钥 序列 的 任意 部 分 不 会 重复 ， 重 新 设置 发 生 屁 回 到 前 一 个 
状态 ， 这 个 简单 的 方法 是 不 行 的 。 

幸运 的 是 ， 同 步 密码 并 不 扩散 传输 错误 。 如 果 一 位 在 传输 中 改变 了 〈 这 比 丢 失 一 位 的 可 
能 性 大 得 多 )， 那 么 只 有 该 位 不 能 正确 解密 ， 前 面 和 后 面 的 位 都 不 会 受 影响 。 

由 于 在 加 密 和 解密 两 端 密 钥 序列 发 生 器 必须 产生 同样 的 输出 ， 所 以 它 必须 是 确定 的 。 因 
为 它 是 用 有 限 状 态 机 器 实现 的 〈 如 计算 机 ) ， 所 以 密 钥 序列 一 定 会 重复 。 这 些 密 铀 序列 发 生 
器 称 为 周期 性 的 〈periodic) 。 除 一 次 一 密 乱 码 本 外 ， 所 有 密 钥 序列 发 生 器 都 是 周期 性 的 。 

发 生 器 的 周期 必须 非常 长 ， 要 比 密 钥 更 换 之 前 发 生 器 所 能 输出 位 的 长 度 还 要 长 得 多 。 如 
果 其 周期 比 明 文 短 ， 那么 明文 的 不 同 部 分 将 用 同样 的 密 钥 序列 加 密 一 一 这 是 一 个 严重 的 弱 
点 。 如 果 密 码 分 析 者 熟悉 这 样 的 一 批 明 文 ， 他 就 可 以 恢复 密 钥 序列 ， 然 后 恢复 更 多 的 明文 。 
即使 分 析 者 仅 有 密 文 ， 他 也 可 以 将 用 同一 个 密 钥 序列 加 密 的 不 同 部 分 密 文 进行 异 或 得 到 明文 
与 明文 的 异 或 ， 这 只 是 一 个 有 非常 长 密 钥 的 简单 异 或 运算 。 

周期 需要 多 长 取决 于 应 用 。 用 于 加 密 连 续 T-1 连接 的 密 钥 序列 发 生 器 每 天 加 密 2 位， 
那么 它 的 周期 应 该 比 这 个 数 大 几 个 数量 级 ， 而 且 密 钥 每 天 都 要 更 换 。 如 果 周 期 足够 长 ， 你 仅 
仅 需 要 每 周 或 者 甚至 每 月 才 更 换 密 钥 。 

同步 序列 密码 同样 可 防止 密 文 中 的 插入 和 删除 ， 因 为 它们 会 使 系统 失去 同步 而 立即 被 发 
现 。 然 而 ， 却 不 能 避免 某 个 位 被 窜改 。 就 像 CFB 模式 下 的 分 组 密码 算法 ，Mallory 更 换 数 据 
序列 中 的 某 个 位 ， 如 果 他 熟悉 明文 ， 他 就 可 以 使 那些 位 解密 成 他 想 要 的 。 后 面 的 位 仍 正确 地 
解密 ， 所 以 在 很 多 应 用 中 Mallory 仍 可 进行 某 些 破坏 。 


插入 攻击 


同步 序列 密码 对 插入 攻击 (insertion attack) 非常 敏感 534 。Mallory 记录 了 一 些 密 文 序 
列 ， 但 他 并 不 知道 明文 或 用 来 加 密 明 文 的 密 钥 序列 。 


原始 明文 : P: P: P, Pi 
原始 密 钥 序列 : K: K, K; K, 
原始 密 文 : Cj G 


Mallory 在 明文 py 后 面 插入 一 个 已 知 位 请 ， 他 能 够 使 修改 后 的 明文 被 相同 的 密 钥 序列 
加 密 。 他 记录 新 的 密 文 : 


新 的 明文 : P, Pp P, P, P, 
原始 密 钥 序列 : K, K: Kı Ky K; 
更 新 的 密 文 : Ci e g c ci 


假定 他 知道 已 的 值 ， 他 可 以 根据 原始 密 文 和 新 的 密 文 确定 整个 明文 : 
由 Ks= cL © P' 得 到 P,= CG Ok 
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由 K= cL @® p, Hl P;= C @ K, 

由 K= C' O P; 得 到 P,= c, © kK, 

Mallory 并 不 需要 知道 插入 的 确切 位 置 ， 他 只 需 比较 原始 密 文 和 更 新 后 的 密 文 从 哪个 地 
方 不 同 即 可 。 为 了 防止 这 种 攻击 ， 永 远 不 要 使 用 同一 个 密 钥 序列 加 密 两 个 不 同 的 消息 。 


9.8 输出 反馈 模式 
输出 反馈 (Output-Feedback，OFB) 模式 是 将 分 组 密码 作为 同步 序列 密码 运行 的 一 种 
方法 。 它 与 密码 反馈 模式 相似 ， 不 同 的 是 OFB 是 将 前 一 个 位 输出 分 组 送 入 队列 最 右 端的 
位 置 〈 见 图 9-11)。 解 密 是 其 逆 过 程 ， 称 为 n 位 OFB。 在 加 密 和 解密 两 端 ， 分 组 算法 都 以 加 
密 模式 使 用 。 这 种 方法 有 时 也 叫做 内 部 反馈 (internal feedback)， 因 为 反馈 机 制 独立 于 明文 
和 密 文 而 存在 。 
移 位 寄存 器 移 位 寄存 器 




















图 9-11 8 位 输出 反馈 模式 

如 果 是 该 算法 分 组 的 大 小 ， 那 么 a 位 OFB 看 上 P Py 
去 像 ( 见 图 9-12); 

C= P@S: S = Er(Sii) 











PaCS: B= his ji Y 
S 是 状态 ， 它 独立 于 明文 和 密 文 ， E, 
OFB 模式 有 一 个 很 好 的 特性 就 是 在 明文 存在 之 前 t y 
大 部 分 工作 可 以 离线 进行 。 当 消息 最 终 到 达 时 ， 它 可 me i 
以 与 算法 的 输出 相 异 或 产生 密 文 。 图 9-12 位 算法 下 的 n 位 OFB 模式 


9.8.1 初始 化 向 量 
OFB 移 位 寄存 器 也 必须 装 入 TV 初始 化 矢量 ，IV 应 当 唯一 ， 但 无 须 保 密 。 


9.8.2 错误 扩散 


OFB 模式 没有 错误 扩散 。 密 文中 单个 位 的 错误 只 引起 已 恢复 明文 的 单个 错误 ， 这 点 对 某 
些 数字 化 模拟 传输 非常 有 用 ， 如 数字 化 声音 或 视频 ， 这 些 场 合 可 以 容忍 单个 位 错误 ， 但 不 能 容 

另 一 方面 ， 不 同步 则 是 致命 的 。 如 果 加 密 端 和 解密 端的 移 位 寄存 器 不 同 ， 那 么 恢复 的 明 
文 将 是 一 些 无 用 的 杂乱 数据 ， 任 何 使 用 OFB 的 系统 必须 有 检测 不 同步 和 用 新 的 〈 或 同一 个 ) 
IV 填充 双方 移 位 寄存 器 的 机 制 以 重新 获得 同步 。 
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9.8.3 安全 问题 


OFB 模式 的 安全 分 析 “ 91-89) Be, OFB 模式 应 当 只 用 在 反馈 量 大 小 与 分 组 大 小 相 
同时 。 例 如 ， 在 64 位 OFB 模式 中 只 能 用 64 位 分 组 算法 。 即 使 美国 政府 授权 在 DESH +p fifi 
用 其 他 大 小 的 反馈 ， 也 应 尽量 避免 。 

OFB 模式 将 密 钥 序 列 与 明文 异 或 。 密 钥 序 列 最 终 会 重复 。 对 于 同一 个 密 钥 ， 使 密 钥 序 
列 不 重复 很 重要 ; 和 否则， 就 毫 无 安全 可 言 。 当 反馈 大 小 与 分 组 大 小 相同 时 ， 分 组 密码 算法 起 
到 m 位 数值 置换 Cm 是 分 组 长 度 ) 的 作用 ， 并 且 平 均 周 期 长 度 为 2 一 1。 对 64 位 的 分 组 长 
度 ， 这 是 一 个 很 大 的 数 。 当 反馈 大 小 n 小 于 分 组 大 小 时 ,平均 周期 长 度 将 减 小 到 约 为 2”。 
对 64 位 分 组 算法 ， 就 是 2° —— AaB IK 





9.8.4 OFB 模式 中 的 序列 密码 


用 OFB 模式 也 能 产生 序列 密码 。 在 这 种 情况 下 ， 密 钥 将 影响 下 一 状态 函数 〈 见 图 9-13). 
输出 函数 并 不 依赖 密 钥 ， 而 是 经 常 简单 地 使 用 内 
部 状态 的 某 个 位 或 多 位 的 异 或 值 。 密 码 复杂 性 在 
于 下 一 状态 函数 ， 该 函数 依赖 于 密 钥 。 这 种 方法 
称 为 内 部 反馈 c0 ， 因 为 对 密 钥 产生 算法 来 说 ， 反 
(DL Hil TEE FA BB 

在 该 模式 的 一 个 变 体 中 ， 密 钥 只 决定 密 钥 序 
列 发 生 器 的 初始 状态 。 在 密 钥 设置 了 发 生 器 的 内 
部 状态 后 ， 发 生 器 就 不 再 受到 干扰 。 图 9-13 OFB 模 式 中 的 密 钥 序列 发 生 器 


9.9 计数 器 模式 


计数 器 模式 (counter mode) 中 的 分 组 密码 算法 使 用 序列 号 作为 算法 的 输入 1。 
不 是 用 加 密 算 法 的 输出 填充 寄存 器 ， 而 是 将 一 个 计数 器 输入 到 寄存 器 中 。 每 一 个 分 组 完成 加 
密 后 ， 计 数 器 都 要 增加 某 个 常数 ， 一 般 为 1。 计数 器 模式 的 同步 和 错误 扩散 特性 与 OFB 模 
式 完全 一 样 ， 但 它 解决 了 OFB 模式 小 于 分 组 长 度 的 位 输出 问题 。 

没有 什么 是 专 供 计数 器 用 的 ， 它 不 必 根 据 可 能 的 输入 计数 。 可 以 将 第 16、17 章 讲 到 的 
任何 随机 序列 发 生 器 作为 分 组 算法 的 输入 ， 而 不 管 其 在 密码 学 上 是 否 安 全 。 











计数 器 模式 中 的 序列 密码 


计数 器 模式 中 的 序列 密码 算法 有 简单 的 下 一 状态 函数 和 复杂 的 依赖 于 密 钥 的 输出 函数 。 
这 种 技术 〈 见 图 9-14) 在 文献 [498, 715] 中 提 
及 。 下 一 状态 函数 可 以 与 计数 器 一 样 简单 ， 只 要 
在 前 一 状态 上 加 1 即 可 。 

使 用 计数 器 模式 序列 密码 算法 ， 可 以 直接 产 
生 第 i 个 密 钥 位 K;， 而 不 用 先 产生 前 面 所 有 的 密 
钥 位 。 只 需 简单 地 手动 设置 计数 器 到 第 i 个 内 部 
状态 ， 然 后 产生 该 位 即 可 。 这 在 保护 随机 访问 数 
据 文件 时 是 非常 有 用 。 不 用 解密 整个 文件 就 可 以 
直接 解密 某 个 特殊 的 数据 分 组 。 图 9-14 计数 器 模式 中 的 密 钥 序列 发 生 器 
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9. 10 ”其 他 分 组 密码 模式 


9. 10. 1 分 组 链接 模式 


为 了 在 分 组 链接 (Block Chaining, BC) 模式 中 使 用 分 组 算法 ， 可 以 简单 地 将 分 组 密码 算 
法 的 输入 与 所 有 前 面 密 文 分 组 的 异 或 值 相 异 或 。 就 像 CBC 算法 一 样 ， 过 程 要 从 一 个 初始 向 量 
IV 开始 。 
数学 式 表达 如 下 : 
C: = EKP: OF), Fa = FOC; 
P; =F; ®Dxk(CG), Fa, = F; OC; 
与 CBC 模式 类 似 ，BC 模式 的 反馈 过 程 具有 扩散 明文 错误 的 性 质 ，BC 的 这 个 问题 是 由 
于 密 文 分 组 的 解密 依赖 于 所 有 前 面 的 密 文 分 组 而 引起 的 ， 密 文中 单一 的 错误 都 将 导致 所 有 后 
续 密 文 分 组 在 解密 中 出 错 。 


9. 10.2 扩散 密码 分 组 链接 模式 


扩散 密码 分 组 链接 (Propagating Cipher Block Chaining, PCBC) 模式 Do 与 CBC 模式 
相似 ， 只 是 它 在 加 密 前 (或 解密 后 )， 前 面 的 明文 分 组 、 P P, P,, 
密 文 分 组 都 与 当前 明文 分 组 相 异 或 ( 见 图 9-15)。 
C: = Ex(P; @ Car © P) 
P; = Cz, © Poy @ Dg (C,) 
PCBC 模式 用 在 Kerberos4 (参见 24.5 节 ) 中 进行 加 
密 ， 并 在 一 次 传递 中 完成 加 密 和 完整 性 检查 。 存 PCBC 模 

















式 中 ， 密 文 分 组 的 一 个 错误 将 引起 所 有 后 续 分 组 在 解密 时 a 
产生 错误 ， 这 意味 着 检验 消息 尾 的 一 个 标准 分 组 将 能 确保 
整个 消息 的 完整 性 。 

不 幸 的 是 ， 这 个 模式 有 一 个 问题 。 交 换 两 个 密 文 。 


分 组 ， 将 使 两 个 对 应 的 明文 分 组 不 能 正确 解密 ， 但 根据 明 图 9-15 扩散 密码 分 组 链接 模式 
文 和 密 文 异 或 的 性 质 ， 错 误 将 抵消 。 所 以 ， 如 果 完 整 性 检查 只 检查 最 后 几 个 解密 的 明文 分 
组 ， 它 就 可 能 欺骗 接收 者 接收 部 分 错误 的 消息 。 尽 管 现在 还 没有 人 利用 这 个 漏洞 ， 但 Ker- 
beros 5 还 是 在 发 现 上 述 缺 点 后 用 CBC 模式 取代 了 它 。 


9.10.3 带 校 验 和 的 密码 分 组 链接 


带 校 验 和 的 密码 分 组 链接 (Cipher Block Chaining with Checksum, CBCC) 是 CBC 的 
一 个 变 体 "中 。 该 模式 保存 所 有 明文 分 组 的 异 或 ， 并 在 加 密 前 与 最 后 的 明文 分 组 异 或 。CB- 
CC 保证 任何 对 密 文 的 改动 都 将 引起 最 后 分 组 解密 输出 的 改动 。 如 果 最 后 分 组 包含 某 种 完整 
校 验 或 常数 ， 那 么 用 很 小 的 额外 操作 就 能 检验 解密 明文 的 完整 性 。 


9. 10.4 带 非 线性 函数 的 输出 反馈 


带 非 线性 函数 的 输出 反馈 (Output Feed-Back with a Nonlinear Function，OFBNLEF)577 是 
OFB 和 ECB 的 一 个 变 体 ， 它 的 密 钥 随 每 一 个 分 组 而 改变 : 
G = Ex, (Pe)s K; = Ex( Ke) 
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Pi= Dx (GYs 二 (Ki 
密 文 的 1 位 错误 将 只 扩散 到 一 个 明文 分 组 。 然 而 ， 如 果 丢 失 或 增加 1 位 ， 将 会 导致 无 限 
的 错误 扩散 。 如 果 使 用 一 个 有 复杂 的 密 钥 编排 算法 的 分 组 算法 〈 如 DES)， 该 模式 将 很 慢 。 
据 我 所 知 还 没有 对 该 模式 的 密码 分 析 。 


9. 10.5 其 他 模式 


可 能 还 有 其 他 的 模式 ， 虽 然 它们 并 没有 被 广泛 应 用 。 明 文 分 组 链接 (Plaintext Block 
Chain-irg, PBC) 模式 与 CBC 相似 ， 只 是 前 一 个 明文 分 组 与 当前 明文 分 组 进行 异 或 ， 而 不 
是 与 密 文 分 组 异 或 。 明 文 反馈 (Plaintext Feed-Back, PFB) 与 CFB 相似 ， 只 是 将 明文 而 非 
密 文 用 于 反馈 。 为 了 阻止 已 知 明文 攻击 ， 这 两 种 模式 准许 选择 明文 攻击 。 还 有 明文 差分 密 文 
分 组 链接 (Ciper Block Chaining of Plaintext Difference, CBCPD) fast, RHEE ARE 
更 加 离奇 。 

如 果 密 码 分 析 者 有 一 台 穷 举 密 钥 搜索 机 器 ， 那 么 如 果 能 猜 出 一 个 明文 分 组 的 话 ， 就 能 恢 
复出 密 钥 。 在 使 用 加 密 算 法 之 前 利用 一 些 陌 生 的 模式 对 加 密 可 以 起 到 奇妙 的 作用 : 如 将 文本 
与 一 确定 秘密 串 进行 异 或 ,或 者 对 文本 进行 置换 。 几 乎 任何 非 标 准 的 东西 都 将 有 助 于 挫败 这 
类 密码 分 析 。 


9. 11 选择 密码 模式 

如 果 你 关心 的 主要 是 简单 和 速度 ， 那 么 ECB 是 最 简单 和 最 快 的 分 组 密码 模式 ， 当 然 也 
是 最 弱 的 。 除 了 容易 受到 重 放 攻 击 外 ，ECB 模式 中 的 算法 也 是 最 易 分 析 的 。 建议 不 要 将 
ECB 用 于 消息 加 密 。 

为 了 加 密 随 机 数据 ， 如 其 他 的 密 钥 ，ECB 是 一 个 很 好 的 模式 。 由 于 数据 短 而 随机 ， 对 
这 种 应 用 ECB 几乎 没什么 缺点 。 

对 于 一 般 的 明文 ， 请 使 用 CBC. CFB 或 OFB 模式 。 选 择 的 模式 依赖 于 你 的 特殊 需要 。 
K 9-1 列 出 了 各 种 模式 的 安全 性 和 效率 。 


表 9-1 分 组 密码 模式 一 览 表 








ECB CBC 
安全 性 安全 性 
一 明文 模式 不 能 被 隐藏 十 明文 模式 通过 与 前 一 个 密 文 分 组 相 异 或 被 隐藏 
一 分 组 密码 的 输入 并 不 是 随机 的 ， 它 与 明文 一 样 十 通过 与 前 一 个 密 文 分 组 相 异 或 ， 分 组 密码 的 输入 是 随机 的 
十 一 个 密 钥 可 以 加 密 多 个 消息 十 一 个 密 钥 可 以 加 密 多 个 消息 
一 明文 很 容易 被 窜改 ;分 组 可 被 删除 、 再 现 或 互 换 十 /一 窜改 明文 稍 难 ;分 组 可 以 从 消息 头 和 消息 尾 删除 ， 第 
效率 一 分 组 位 可 被 更 换 ， 并 且 复 制 允 许 某 些 控制 的 改变 
十 速度 与 分 组 密码 相同 效率 
一 由 于 填充 ， 密 文 比 明文 长 一 个 分 组 十 速度 与 分 组 密码 相同 
一 不 可 能 进行 预 处 理 一 不 考虑 IV， 密 文 比 明文 长 一 个 分 组 
十 处 理 过 程 并 行进 行 一 不 可 能 进行 预 处 理 
容错 性 十 /一 加 密 不 是 并 行 的 ; 解密 是 并 行 的 且 有 随机 存 取 特性 
一 一 个 密 文 错 误会 影响 整个 明文 分 组 容错 性 
一 同步 错误 不 可 恢复 一 一 个 密 文 错误 会 影响 整个 明文 分 组 以 及 下 一 个 分 组 的 相 
应 位 





一 同步 错误 不 可 恢复 





CFB 
安全 性 

十 明文 模式 被 隐藏 

十 分 组 寨 但 的 输入 是 随机 的 

十 用 不 同 的 IV， 一 个 密 钥 可 加 密 多 个 消息 

十 /一 寓 改 明文 稍 难 ; 分 组 可 以 从 消息 关 和 消息 尾 删 除 ， 第 

一 分 组 位 可 被 更 换 ， 并 且 复 制 允 许 某 些 控制 的 改变 

效率 

十 速度 与 分 组 密码 相同 

一 不 考虑 IV， 密 文 与 明文 同 大 小 

一 在 分 组 出 现 之 前 做 些 预 处 理 是 可 能 的 ， 前 面 的 密 文 分 
组 可 以 被 加 密 

十 /一 加 密 不 是 并 行 的 ; 解密 是 并 行 的 是 有 随机 存 取 特性 
容错 性 

-一 个 密 文 错误 会 影响 明文 的 相应 位 及 下 一 个 分 组 

十 同步 错误 是 可 恢复 的 , 1 位 CFB 能够 恢复 1 位 的 添加 
REK 





一 般 来 说 ， 加 密 文 件 最 好 的 模式 是 CBC, 
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( 续 ) 
OFB 计数 器 
安全 性 
十 明文 模式 被 隐藏 


十 分 组 密 文 的 输入 是 随机 的 
十 用 不 同 的 IV， 一 个 密 包 可 以 加 蜜 多 个 消息 
明文 很 容易 被 控制 窜改 ， 任 何 对 密 文 的 改变 都 会 直接 影 
响 明文 
效率 
十 速度 与 分 组 密码 相同 
一 不 考虑 IV， 密 文 与 明文 有 同样 大 小 
十 消息 出 现 前 做 些 预 处 理 是 可 能 的 
一 /十 OFB 处 理 过 程 不 是 并 行 的 ,计数器 处 理 是 并 行 的 
容错 性 
十 一 个 密 文 错误 仪 影响 明文 的 相应 位 
一 同步 错误 不 可 恢复 





安全 性 增加 是 很 有 意义 的 ， 并 且 当 存储 数据 


中 存在 某 些 错误 位 时 ， 同 步 错误 几乎 从 不 发 生 。 如 果 应 用 是 基于 软件 的 ，CBC 总 是 最 好 的 


CFB (特别 是 8 位 CFB) 通常 是 加 密 字 符 序 列 所 选择 的 模式 ， 此 时 每 个 字符 需要 分 别处 
理 ， 如 在 终端 和 主机 链 路 中 。OFB 通常 用 在 不 能 容忍 错误 扩散 的 高 速 同 步 系统 中 。 如 果 需 


要 预 处 理 ， 那 么 OFB 也 是 可 以 选择 的 模式 。 


OFB 是 在 容易 出 错 的 环境 中 所 选择 的 模式 ， 因 为 它 没有 错误 扩散 。 

除了 所 谓 “ 神 奇 ”模式 外 ，ECB、CBC、OFB 和 OFB 四 种 模式 之 一 几乎 能 够 满足 任何 
应 用 需要 ， 这 些 模式 既 不 过 分 复杂 也 不 会 减少 系统 的 安全 性 。 尽 管 复 杂 的 模式 或 许 能 增加 安 
全 性 ， 但 大 多 数 情况 下 它 仅仅 是 增加 复杂 性 。 没 有 什么 神奇 模式 具有 好 的 错误 扩散 特性 或 错 


误 恢复 能 力 。 
9. 12 交错 


在 大 多 数 模式 中 ， 对 工 位 〈 或 分 组 ) 的 加 密 依赖 于 前 面 位 〈 或 分 组 ) 的 加 密 。 这 就 使 得 
并 行 处 理 成 为 可 能 。 例 如 ， 假 定 在 CBC 模式 下 加 密 硬 件 盒 ， 假 设 它 由 四 块 加 密 世 片 组 成 ， 
其 中 仅 有 一 块 能 在 任意 时 间 工 作 ， 甚 余 的 芯片 需要 得 到 前 一 世 片 的 结果 后 才 开 始 工 作 。 

解决 方案 就 是 交错 〈interleave) 多 重 加 密 序列 (不 是 15.1 节 和 15.2 节 讲 到 的 多 重 加 
密 )。 它 使 用 四 个 链 代替 单一 的 CBC 链 。 第 一 、 第 五 及 每 隔 四 块 的 分 组 使 用 一 个 IV 的 CBC 
模式 加 密 ; 第 二 、 第 六 及 每 隔 四 块 之 后 再 用 另 一 个 TV 在 CBC 模式 下 加 密 ; 以 此 类 推 。 总 的 


IV 比 没有 交错 时 长 得 多 。 


可 把 它 想 成 是 用 相同 的 密 钥 和 四 个 不 同 的 1V 对 四 个 不 同 的 消息 进行 加 密 。 所 有 这 些 消 


息 也 都 是 相互 交错 的 。 


该 技巧 可 用 于 提高 硬件 的 整体 加 密 速 度 。 如 果 你 有 三 个 加 蜜 芯片 ， 每 一 个 加 密 速 度 是 
33Mb/s， 那 么 使 用 交错 就 可 以 对 一 个 100Mb/s 的 单一 信道 进行 加 密 。 
图 9-16 显示 了 在 CFB 模式 下 三 个 并 行 交 错 的 序列 加 密 。 这 种 思想 也 可 以 用 任意 数目 的 
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并 行 序列 在 CBC 和 OFB 模式 下 工作 。 只 是 要 记 住 每 个 序列 都 需要 自己 的 IV， 不 能 共享 。 











图 9-16 交错 的 三 个 CFB 模式 加 密 


9.13 分 组 密码 与 序列 密码 


尽管 分 组 和 序列 密码 非常 不 同 ， 但 分 组 密码 也 可 作为 序列 密码 使 用 ， 反 之 亦 然 。 我 所 见 
到 的 对 两 者 最 好 的 区 别 定义 是 在 文献 [1362] F: 


分 组 密码 是 对 一 个 大 的 明文 数据 块 〈 分 组 ) 进行 国定 变换 的 操作 ; 
序列 密码 是 对 单个 明文 位 的 随时 间 变 换 的 操作 。 


在 现实 世界 中 ， 分 组 密码 似乎 更 加 通用 《〈 如 它们 能 够 用 四 种 模式 中 的 任意 一 种 )， 而 序 
列 密码 好 像 更 多 用 于 数学 分 析 。 有 大 量 序列 密码 分 析 和 设计 方面 的 理论 著作 一 一 由 于 某 些 原 
因 ， 大 多 数 在 欧洲 完成 。 自 从 电子 技术 发 明 以 来 ， 它 们 被 各 国 军 方 所 使 用 。 不 过 ， 人 情况 好 像 
正在 改变 。 近 年 来 ， 有 大 量 论文 是 关于 分 组 密码 设计 的 。 或 许 不 久 以 后 ， 分 组 密码 设计 方面 
的 理论 就 能 像 现 在 序列 密码 设计 的 理论 一 样 丰 富 。 

然而 ， 两 者 之 间 的 区 别 主要 体现 在 实现 上 。 每 次 只 能 对 一 个 数据 位 进行 加 密 和 解密 的 序 
列 密码 并 不 适用 于 软件 实现 。 分 组 密码 算法 就 可 以 很 容易 地 用 软件 实现 ， 因 为 它 可 以 避免 耗 
时 的 位 操作 ， 并 且 它 易于 处 理 计算 机 界定 大 小 的 数据 分 组 。 另 一 方面 ， 序 列 密码 更 适合 用 硬 
件 实现 ， 因 为 使 用 硅 材料 可 以 非常 有 效 地 实现 它 。 

这 些 是 值得 考虑 的 事情 。 对 数字 通信 信道 上 的 硬件 加 密 设 备 来 说 ， 每 经 过 1 位 就 加 密 1 
位 非常 有 意义 ， 这 是 这 些 设备 的 长 处 。 另 一 方面 ， 用 软件 加 密 设 备 加 密 每 一 个 分 离 的 单个 位 
没有 意义 。 还 有 一 些 特 殊 的 场合 : 在 一 个 计算 机 系统 中 逐 位 、 逐 字 节 加 密 是 必需 的 《例如 ， 
对 键盘 和 CPU 之 间 的 连接 进行 加 密 )， 但 是 一 般 来 说 ， 加 密 分 组 至 少 是 数据 总 线 的 宽度 。 
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将 安全 性 (包括 数据 安全 性 、 通 信安 全 性 、 信 息 安 全 性 等 ) 想象 为 一 条 链子 。 整 个 系统 
的 安全 性 是 其 中 最 脆弱 连接 的 安全 性 。 每 一 件 东西 都 必须 安全 : 加 密 算法 、 协 议 、 密 钥 管 理 
以 及 更 多 。 如 果 算 法 很 好 ,但 是 随机 数 发 生 器 非常 粳 ， 那 么 聪明 的 分 析 者 就 能 通过 该 发 生 器 
NEAR: 如 果 你 修复 了 一 个 漏洞 ， 但 忘 了 安全 地 删除 包含 密 钥 的 那 块 内 存 ， 那 么 分 析 者 通 
过 程序 可 以 攻破 你 的 系统 ; 如 果 你 的 什么 东西 都 是 正确 的 ， 但 偶尔 将 一 封 含有 你 安全 文件 副 
本 的 E-mail 发 给 了 《华尔街 日 报 》， 你 可 能 得 到 同样 的 结果 。 

太 不 公平 了 。 作 为 一 个 安全 系统 的 设计 者 ， 你 必须 想到 每 一 个 可 能 的 攻击 方法 及 其 对 
策 ， 而 一 个 密码 分 析 者 只 需 找到 你 的 安全 漏洞 及 怎样 利用 它 。 

密码 学 仅 是 安全 性 的 一 部 分 ， 其 至 经 常 是 很 小 的 一 部 分 。 它 仅 在 数学 上 使 一 个 系统 安 
全 ， 这 与 实际 使 系统 安全 是 两 码 事 。 密 码 学 有 它 的 “size queens:” 人 们 在 花费 很 多 的 时 间 
讨论 密 钥 应 该 有 多 长 时 ， 通 常 忘记 了 其 他 的 事情 。 如 果 秘 密 警察 想 知 道 计 算 机 里 有 什么 ， 那 
么 对 他 们 来 说 潜入 房间 中 安置 一 个 摄像 机 ， 让 它 记录 你 的 计算 机 屏幕 总 比分 析 你 的 硬盘 驱动 
器 容易 得 

此 外 ， 对 于 计算 机 密码 学 ， 传 统 的 看 法 是 “间谍 与 反 间 谍 ” 技 术 ， 并 且 这 种 看 法 越 来 越 
不 恰当 。 世 界 上 超过 99% 的 密码 学 并 没有 用 来 保护 军事 机 密 ， 它 们 被 用 于 诸如 银行 卡 、 付 
费 电 视 、 道 路 收费 、 办 公 大 楼 以 及 计算 机 访问 令 牌 、 抽 彩 设备 、 预 付款 电子 计量 器 等 "1 。 
在 这 些 应 用 中 ， 密 码 的 作用 就 是 使 捍 骂 的 犯罪 更 困难 ， 而 对 那些 拥有 许多 高 薪 聘 请 的 有 才能 
的 密码 分 析 者 和 满 屋子 计算 机 的 攻击 者 并 不 适用 。 

这 些 应 用 大 部 分 使 用 了 性 能 差 的 密码 算法 ， 但 是 成 功 地 攻击 它们 与 密码 分 析 没 有 多 大 关 
系 。 它 们 与 受 和 欺骗 的 和 雇员、 聪明 的 裔 诈 行 为 、 轧 春 的 实现 、 频 繁 地 说 漏 嘴 、 随 便 的 举止 等 有 
K (我 强烈 建议 上 面 所 述 的 某 些 人 阅读 Ross Anderson 的 论文 “Why Cryptosystems Fail”), 
甚至 NSA 也 承认 ， 在 它 关 注 领域 的 大 多 数 安 全 失败 是 由 工作 运作 错误 引起 的 ， 而 不 是 算法 
或 协议 上 的 失败 22 。 在 这 些 场合 ， 密 码 算法 再 好 也 没有 什么 用 处 ， 成 功 的 攻击 完全 可 以 绕 
WE 


10.1 选择 算法 
当 开 始 估计 并 选择 算法 时 ， 人 们 有 下 面 几 种 选择 : 
。 他 们 可 以 选择 一 个 公开 的 算法 ， 基 于 相信 一 个 公开 的 算法 已 经 受到 许多 分 析 者 的 攻 
击 ， 如 果 还 没有 人 破解 它 ， 说 明 它 很 好 。 
。 他 们 可 以 相信 和 制造 商 ， 基 于 相信 一 个 很 有 名 的 制造 商 不 会 用 他 们 的 名 誉 冒险 出 售 具 





有 缺陷 算法 的 设备 。 
。 他 们 可 以 相信 私人 顾问 ， 基 于 相信 一 个 公正 的 很 有 名 望 的 顾问 对 市 场 上 算法 的 估计 
很 有 见解 。 


。 他 们 可 以 相信 政府 ， 基 于 相信 政府 是 最 值得 信赖 的 ， 它 不 会 欺骗 公民 。 
。 他 们 可 以 写 自 己 的 算法 ， 基 于 相信 他 们 的 算法 不 次 于 别人 的 ， 并且 他 们 除了 自己 ， 
不 信任 任何 人 。 
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当然 这 些 选择 都 有 些 问 题 ， 但 第 一 种 选择 似乎 是 最 明智 的 。 相 信和 制造 商 、 顾 问 、 政 府 就 
等 于 是 自 找 态 烦 。 那 些 自称 是 安全 顾问 的 多 数 人 《甚至 来 自 很 有 名 的 公司 )， 通 常 连 加 密 知 
识 都 不 懂 。 大 多 数 安全 产品 的 制造 商 也 不 会 更 好 。NSA 有 一 大 批 世界 著名 的 密码 学 家 为 它 
工作 ,但 他 们 从 来 未 告诉 你 所 有 他 们 知道 的 ， 他 们 所 追逐 的 利益 并 不 与 他 们 公民 的 利益 由 一 
致 。 即 使 你 是 天 才 ， 在 没有 同行 审查 的 情况 下 ， 使 用 你 自己 编写 的 算法 也 将 是 思春 的 。 

本 书 中 的 所 有 算法 都 是 公开 的 ， 它 们 已 公开 发 行 并 被 这 方面 的 专家 分 析 过 。 我 列 出 了 所 
有 公布 的 结果 ， 其 中 有 正面 的 也 有 反面 的 。 我 并 没有 接近 世界 上 任何 军事 安全 组 织 所 做 的 分 
析 (它们 也 许 比 学 术 组 织 做 得 好 一 一 他 们 已 做 了 很 长 时 间 并 有 很 高 的 薪水 )， 所 以 这 些 算 法 
也 许 很 容易 被 破译 ， 即 使 这 样 ， 它 们 也 很 可 能 比 那些 在 某 个 公司 的 地 下 室 秘密 设计 和 实现 的 
算法 更 安全 。 

所 有 这 些 理由 的 漏洞 是 我 们 并 不 知道 各 种 军事 密码 分 析 组 织 的 能 力 。 

NSA 可 以 破译 什么 样 的 算法 ? 对 我 们 中 的 大 多 数 人 来 说 ， 确 实 无 法 知道 。 如 果 你 同一 
块 用 DES 加 密 的 计算 机 硬盘 一 起 被 捕 的 话 ， 在 审讯 你 时 ，FBI 是 不 可 能 引用 人 硬盘 的 解密 明 
文 的 ， 他 们 能 够 攻破 一 个 算法 这 个 事实 经 常 比 破译 的 任何 信息 更 值得 保密 。 第 二 次 世界 大 战 
期 间 ， 盟 军 被 禁止 使 用 解密 的 德国 过 激 的 信息 ， 除 非 能 够 巧妙 地 从 其 他 地 方 获 得 这 些 信 息 。 
NSA 承认 ， 能 够 攻破 某 个 给 定 算法 的 唯一 方法 是 加 密 一 个 非常 有 价值 的 东西 ， 然 后 公布 加 
密 的 消息 。 或 者 ， 可 能 更 好 ， 制 造 一 个 真正 滑稽 的 笑话 ， 然 后 通过 加 密 的 E-mail 把 它 传 给 
一 个 不 可 靠 的 人 。NSA 的 雇员 同样 是 人 ， 我 对 他 们 能 为 一 个 好 笑话 保住 秘密 持 怀 疑 态 度 。 

一 个 好 的 、 可 行 的 假设 是 NSA 可 以 读 到 它 选择 的 任何 信息 ， 而 不 是 它 不 能 读 任何 它 选 
择 的 信息 。NSA 受 资源 限制 不 得 不 在 各 种 目标 中 进行 挑选 。 另 一 个 好 的 假设 是 他 们 宁愿 破 
译 一 些 关键 部 位 而 不 破译 整个 密码 。 这 种 偏爱 非常 强烈 ， 以 至 于 当 他 们 想 为 他 们 曾 读 过 该 消 
息 保 密 时 ， 就 不 得 不 求助 于 攻击 整个 密码 。 

无 论 怎 么 样 ， 我 们 能 够 做 得 最 好 的 选择 是 选择 公开 的 算法 ， 它 们 已 经 历 过 了 公开 检验 和 
分 析 。 


算法 的 出 口 

美国 出 口算 法 必须 经 美国 政府 批准 (实际 上 是 NSA 一 一 参见 25. 1 节 )。 广 泛 认 为 这 些 
被 批准 出 口 的 算法 NSA 都 能 破译 它 。 虽 然 没 有 人 承认 它 ， 但 谣传 NSA 对 那些 希望 出 口 密 
码 成 果 的 公司 曾 私下 建议 : 

。 偶尔 泄露 一 位 密 钥 ， 将 其 藏 在 密 文中 。 

。 在 30 位 内 隐 埋 有 效 密 钥 。 比 如 ， 一 个 算法 可 能 接收 100 位 的 密 钥 ， 但 大 部 分 可 能 是 





等 价 的 。 
。 使 用 固定 的 IV， 或 者 在 每 条 加 密 消 息 的 开头 加 密 一 个 固定 头 部 ， 以 允许 选择 明文 
Wit. 


。 产生 一 些 随 机 字 节 ， 并 用 密 钥 将 其 加 密 ， 接 着 将 这 些 随 机 字 节 的 明文 和 密 文 放 在 被 
加 密 消 息 的 开头 ， 这 也 人 允许 已 知 明文 攻击 。 
NSA 得 到 一 个 源 公 副本 ,但 加 密 算 法 细节 对 外 仍 保密 ， 当 然 没 有 人 大 梁 宣扬 这 些 细节 
的 弱点 ， 但 请 意识 到 你 买 的 是 得 到 出 口 许 可 的 美国 加 密 产 品 。 


10.2 公开 密 钥 密码 系统 与 对 称 密码 系统 
公开 密 钥 密 人 码 系统 与 对 称 密码 系统 哪 一 个 更 好 呢 ? 这 个 问题 没有 任何 意义 ,但 是 自从 公 
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开 密 钥 密码 系统 产生 以 来 就 一 直 争论 不 休 。 这 个 争论 假定 两 种 密码 算法 可 以 基于 同一 个 基础 
点 进行 比较 。 事 实 上 并 非 如 此 。 

Needham 和 Schroeder." 中 指出 使 用 公开 密 钥 算 法 的 消息 的 数量 和 长 度 比 对 称 算法 大 得 
多 。 他 们 的 结论 是 对 称 算法 比 公开 密 钥 算法 更 有 效 ， 尽 管 这 是 正确 的 ， 但 这 种 分 析 忽视 了 公 
开 密 钥 方案 的 安全 性 意义 。 

Whitfield Diffie 在 文献 [492, 494] 中 写 道 : 

按照 把 公开 密 钥 作为 一 种 新 的 密码 系统 而 不 是 新 的 密 钥 管理 形式 的 观点 ， 从 安 

全 性 与 性 能 两 方面 考虑 ， 我 站 在 批评 者 的 一 边 。 反 对 者 立即 指出 RSA 体制 运行 速 

度 是 DES 的 千 分 之 一 且 要 求 10 售 长 的 密 钥 。 尽 管 从 一 开始 公开 窗 钥 系统 就 被 限制 

用 于 传统 (对称) 密码 学 的 密 钥 交换 ， 明 显 这 也 是 不 必要 的 。 在 这 种 情况 下 ， 建立 

一 种 混合 密码 系统 1 的 建议 被 作为 一 个 新 的 发 现 得 到 了 很 大 的 响应 。 


公开 密 钥 密码 与 对 称 密码 是 两 种 不 同 的 东西 ， 它 们 解决 不 同 的 问题 。 对 称 密码 适合 加 密 
数据 ， 它 速度 极 快 并 且 对 选择 密 文 攻击 不 敏感 ， 公 开 密 钥 密码 可 以 做 对 称 密码 所 不 能 做 的 事 
情 ， 它 最 擅长 密 钥 分 配 和 第 一 部 分 讨论 的 大 量 协议 。 

第 一 部 分 还 介绍 了 其 他 一 些 术 语 ， 单 向 散 列 函 数 、 消 息 鉴 别 码 等 。 表 10-1 列 出 了 各 种 
不 同 算法 及 其 性 质 *"。 


表 10-1 各 类 算法 











算法 HL PE 验证 完整 性 密 钥 管理 
对 称 加 密 算 法 是 tt m 是 
公开 密 钥 加 密 算法 是 an ry 是 
数 宁 签名 算法 T 是 是 否 
密 钥 共 识 算法 是 可 选 T 是 
单 向 散 列 函数 a a 是 T 
消息 验证 代码 G 是 是 T 


10.3 通信 信道 加 密 

这 是 一 个 典型 的 Alice 与 Bob 问题 : Alice 想 传送 一 个 安全 的 消息 给 Bob， 她 怎样 做 ? 
她 将 消息 加 密 。 

HEE. 加密 可 以 在 开放 系统 互联 (Open Systems Interconnect, OSD 通信 模型 的 任何 层 
进行 。( 更 多 信息 参见 OSI 安全 结构 标准 5 。) 事实 上 ， 加 密 一 般 在 最 底层 (第 一 或 第 二 层 ) 
或 较 高 层 。 如 果 在 最 底层 加 密 ， 就 称 为 链 - 链 加 密 (link-by-link encryption)， 通 过 特定 数据 连 
接 的 任何 数据 都 要 被 加 密 。 如 果 发 生 在 较 高 的 层 ， 就 称 为 端 - 端 加 密 (end-to-end encryption) 。 
数据 被 选择 性 地 加 密 ， 并 且 只 在 最 后 的 接收 端 进行 解密 。 两 种 方法 各 有 优 缺 点 。 


10.3.1 链 - 链 加 密 

最 容易 加 密 的 地 方 是 在 物理 层 〈 见 图 10-1) ， 这 叫做 链 - 链 加 密 。 通 常 ， 物 理 层 接 口 是 标 
准 的 ， 并且 在 此 处 最 容易 连接 硬件 加 密 设备 。 这 些 设备 对 通过 它们 的 所 有 数据 进行 加 密 ， 包 
括 数据 、 路 由 信息 、 协 议 信息 等 。 它 们 可 以 用 于 任何 类 型 的 数据 通信 链 路 上 。 另 一 方面 ， 发 
送 端 与 接收 端 之 间 的 任何 智能 交换 或 存储 节点 都 必须 在 处 理 这 些 数据 序列 之 前 对 其 进行 
解密 。 
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图 10-1 链 路 加 密 


这 种 类 型 的 加 密 非 常 有 效 ， 因 为 任何 东西 者 被 加 密 ， 密 码 分 析 者 得 不 到 任何 关于 消息 结 
构 的 信息 ， 他 们 不 知道 谁 正在 与 谁 通话 ， 发 送 消息 多 长 ， 哪 天 进行 的 通信 等 ， 这 叫做 流量 保 
密 (traffic-flow security) 。 敌 人 不 仅 不 能 存 取 消息 ， 而 且 也 不 知道 消息 的 出 处 与 去 处 。 

系统 安全 性 不 依赖 于 任何 流量 管理 技术 。 密 钥 管 理 也 简单 ， 仅 仅 是 线路 的 两 端 需要 共同 
的 密 钥 ， 它 们 可 以 独立 于 网 络 其 他 部 分 而 更 换 密 钥 。 

设想 一 个 用 1 位 CFB 加 密 的 同步 通信 线路 。 在 初始 化 后 ， 线 路 可 以 无 限 地 运行 ， 位 或 
同步 错误 自动 恢复 。 无 论 什么 时 候 消息 从 一 端 发 往 另 一 端 ， 线 路 都 被 加 密 ， 没 有 消息 时 就 加 
密 、 解 密 随 机 数据 。Eve 不 知道 什么 时 候 发 送 消 息 ， 什 么 时 候 不 发 ， 也 不 知 其 开始 与 结束 。 
她 所 看 见 的 只 是 无 穷 无 尽 的 看 上 去 随机 的 位 序列 。 

如 果 通 信 线 路 是 异步 的 ， 同 样 可 以 使 用 1 位 CFB 模式。 不 同 的 是 敌 方 可 以 知道 信息 的 
传输 率 。 如 果 信 息 必 须 隐蔽 ， 那 么 必须 做 些 防备 ， 以 使 消息 在 空余 时 间 悄 悄 传 过 。 

物理 层 加 密 的 最 大 问题 是 : 网 络 中 的 每 个 物理 链 路 都 必须 加 密 ， 如 果 有 一 处 没 加 密 就 会 
危及 整个 网 络 的 安全 。 如 果 网 络 很 大 ， 这 类 加 密 的 开销 会 变 得 很 大 ， 以 至 于 限制 了 它 的 
实施 。 

男 外， 必须 保护 网 络 中 每 个 节点 ， 因 为 它 处 理 未 加 密 的 数据 。 如 果 网 络 中 的 每 个 用 户 都 
相互 信任 ， 并 且 每 个 节点 都 很 安全 ， 这 或 许可 以 接受 。 但 这 是 不 可 能 的 ， 即 使 在 一 个 公司 
里 ， 信 息 可 能 必须 在 某 个 部 门 里 保密 ， 如 果 网 络 偶然 将 信息 发 错 了 路 线 ， 任 何人 都 可 以 看 到 
它 。 表 10-2 是 链 - 链 加 密 的 优 缺 点 。 

表 10-2 链 - 链 加 密 的 优点 与 缺点 | 
优点 
易 操 作 ， 因 为 它 对 用 户 是 透明 的 ， 即 在 通过 链 路 传送 之 前 所 有 数据 都 被 加 密 
每 一 次 链接 只 需要 一 组 密 钥 
因为 任何 路 由 信息 都 被 加 密 ， 所 以 能 够 提供 安全 的 通信 序列 
加 密 是 在 线 的 

缺点 

在 中 间 节 点 间 数 据 易 被 暴露 


10. 3. 2” 端 - 端 加 密 


另 一 种 处 理 方法 是 将 加 密 设备 放 在 网 络 层 和 传输 层 之 间 ， 加 密 设 备 必 须根 据 低 三 层 的 协 
议 理解 数据 ， 并 且 只 加 密 传输 层 的 数据 单元 。 这 些 加 密 的 数据 单元 与 未 加 密 的 路 由 信息 重新 
结合 ， 然 后 送 到 下 一 层 进 行 传输 。 

这 种 处 理 方法 避免 了 在 物理 层 中 出 现 的 加 密 和 解密 问题 。 通 过 端 - 端 加 密 ， 数 据 一 直 保 持 
加 密 状 态 ， 直 到 到 达 目 的 地 才 被 解密 OLE 10-2) 。 端 - 端 加 密 的 主要 问题 是 路 由 信息 未 被 加 
密 ， 一 个 好 的 密码 分 析 者 可 以 据 此 知道 谁 和 谁 通 信 ， 何 时 通信 以 及 时 间 多 长 ， 而 并 不 需要 知道 
通信 内 容 。 其 次 ， 密 钥 管 理 也 很 困难 ， 因 为 每 个 用 户 必 须 确保 他 们 与 其 他 人 有 共同 的 密 钥 。 
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图 10-2” 端 - 端 加 密 

制造 端 - 端 加 密 设 备 很 困难 。 每 一 个 特殊 的 通信 系统 有 其 自身 的 协议 。 有 时 这 些 层 之 间 
的 接口 没有 很 好 的 定义 也 使 任务 更 加 困难 。 

如 果 加 密 发 生 在 通信 系统 的 高 层 ， 如 应 用 层 或 表示 层 ， 那 么 它 可 以 独立 于 网 络 所 用 的 通信 
结构 。 它 仍 是 端 - 端 加 密 ， 但 加 密实 现 并 不 扰乱 线路 编码 、 两 个 调制 解 调 器 间 的 同步 、 物 理 接 
口 等 。 在 早期 的 电子 机 械 密 码 学 中 ， 加 密 和 解密 完全 是 离线 的 ， 这 里 只 是 向 前 走 了 一 步 。 

在 这 些 高 层 进行 加 密会 与 相应 层 的 软件 相互 作用 ， 这 些 软件 因 计 算 机 结构 的 不 同 而 不 
同 ， 因 而 必须 针对 不 同 的 计算 机 系统 ， 通 过 软件 自身 或 特殊 的 硬件 进行 加 密 。 后 一 种 情况 
下 ， 计 算 机 在 发 送 到 低层 进行 传输 之 前 数据 必须 用 特殊 的 硬件 加 密 。 这 种 处 理 需 要 智能 终端 
而 不 适合 非 智 能 终端 ， 另 外 可 能 还 有 各 种 不 同类 型 计算 机 之 间 的 兼容 问题 。 

端 - 端 加 密 的 最 大 缺点 是 它 允 许 流量 分 析 ging mmmemeasea 
(traffic analysis)。 流 量 分 析 主 要 分 析 : 数据 从 哪 一 人 ©. 
里 来 ， 到 哪里 去 ， 什 么 时 候 发 送 ， 传 送 多 长 时 间 ， 保密 级 别 更 高 
发 送 频繁 程度 ， 是 否 与 其 他 事件 〈 如 会 议 等 ) AK 缺点 
联 等 。 大 量 有 用 的 信息 埋藏 在 传送 的 数据 中 ， 密 码 需要 更 复杂 的 密 钥 管理 系统 
分 析 者 可 得 到 很 大 帮助 。 表 10-3 列 出 了 端 - 端 加密 流量 分 析 是 可 能 的 ， 因 为 路 由 信息 未 被 加 密 
的 优 缺 点 。 加 密 是 离线 的 


10.3.3 两 者 的 结合 
表 10-4 主要 摘自 文献 [1244]， 对 上 面 两 种 加 密 方法 进行 了 比较 。 将 端 - 端 与 链 - 链 加 密 相 
结合 ， 尽 管 很 昂贵 ， 却 是 一 种 有 效 的 网 络 安全 方法 ， 加 密 每 个 物理 链 路 使 得 对 路 由 信息 的 分 析 
成 为 不 可 能 ， 而 端 - 端 加 密 减 少 了 网 络 节 点 中 未 加 密 数 据 处 理 带 来 的 威胁 。 对 两 种 方案 的 密 钥 
管理 可 以 完全 分 开 : 网 络 管理 人 员 可 以 只 关心 物理 层 ， 而 每 个 用 户 只 负责 相应 的 端 - 端 加 密 。 
表 10-4” 链 - 链 加 密 与 端 - 端 加 密 的 比较 





链 - 链 加 密 端 - 端 加 密 

主机 内 部 安全 性 

发 送 主机 内 部 消息 暴露 发 送 主机 内 部 消息 被 加 密 

交换 节点 消息 暴露 在 交换 节点 消息 被 加 密 
用 户 的 作用 

发 送 主机 使 用 发 送 过 程 使 用 

对 用 户 不 可 见 用 户 应 用 加 密 

主机 保持 加 密 用 户 必 须 选择 算法 

对 所 有 用 户 便利 用 户 选择 加 密 

可 以 硬件 完成 软件 更 易 完 成 

消息 全 部 被 加 密 或 全 部 不 加 密 对 每 一 条 消息 用 户 可 选择 加 密 或 者 否 
有 关 实 现 


每 一 主机 对 需要 一 个 密 钥 
每 一 台 主 机 需要 加 密 硬件 或 软件 
提供 节点 验证 


每 一 用 户 对 需要 一 个 密 钥 
在 每 一 个 节点 需要 加 密 硬件 或 软件 
提供 用 户 验证 
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10.4 用 于 存储 的 加 密 数据 

用 于 存储 的 加 密 数 据 可 以 通过 Alice 和 Bob 模式 来 检查 。Alice 仍 可 以 向 Bob 发 送 消息 ， 
只 是 此 处 的 “Bob” 是 某 时 间 后 的 Alice。 然 而 ， 该 问题 有 着 本 质 的 不 同 。 

在 通信 信道 里 ， 传 输 中 的 消息 并 没有 价值 。 如 果 Bob 不 接收 某 个 特定 消息 ，Alice 将 一 
直 发 送 下 去 。 这 对 于 用 于 存储 的 数据 加 密 来 说 是 不 正确 的 。 如 果 Alice 不 能 对 她 的 消息 进行 
解密 ， 她 将 不 能 及 时 回 过 头 去 重新 加 密 ， 她 已 经 永远 地 失去 了 这 些 数 据 。 这 就 意味 着 用 于 数 
据 存储 的 加 密实 现 应 该 有 某 些 机 制 ， 以 防止 由 于 密 文中 的 错误 引起 的 不 可 恢复 。 

加 密 密 钥 与 加 密 消 息 有 同样 的 价值 ， 只 是 它 小 一 点 儿 。 事 实 上 ， 加 密 就 是 将 大 秘密 变 成 
小 秘密 。 由 于 较 小 ， 所 以 它 更 容易 丢失 。 密 钥 管 理 程序 应 当 假定 同一 个 密 钥 可 以 被 一 遍 又 一 
遍地 使 用 ， 并 且 数 据 可 以 在 磁盘 上 保存 数 年 ， 直 到 被 销毁 。 

此 外 ， 密 钥 应 该 保存 很 长 一 段 时 间 。 用 于 通信 的 密 钥 ， 理 想 情 况 下 仅 存 在 通信 维持 时 
间 。 而 用 于 数据 存储 的 密 钥 则 需要 数 年 ， 因 此 必须 安全 地 保存 数 年 。 

文献 [357] 列 出 针对 计算 机 数据 加 密 存 储 的 其 他 一 些 问题 : 

。 数据 可 以 以 明文 形式 存在 ,或 者 在 其 他 的 磁盘 、 计 算 机 ,或 者 在 纸 上 。 对 密码 分 析 

者 来 说 ， 进 行 已 知 明文 攻击 有 很 大 的 机 会 。 
。 在 数据 库 应 用 中 ,数据 片 比 大 多 数 算法 的 数据 分 组 小 。 这 使 得 密 文 比 明 文大 。 


。 1/0 设备 的 速度 要 求 快速 地 加 密 和 人 解密， 这 可 能 需要 人 硬件 加 密 。 在 一 些 应 用 中 ， 可 
能 再 要 特殊 的 高 速算 法 。 

。 需要 安全 、 长 期 的 密 钥 存 储 。 

。 密 钥 管理 更 复杂 ， 因 为 不 同 的 人 需要 存 取 不 同 的 文件 或 同一 文件 的 不 同 部 分 等 。 

如 果 加 密 文 件 不 是 以 记录 和 字段 构造 〈 如 文本 文件 )， 恢 复 将 很 容易 : 整个 文件 在 使 用 之 


前 进行 解密 。 如 果 加 密 文件 是 数据 库 文件 ， 这 个 解决 方案 会 有 很 多 问题 。 为 了 存 取 单 个 记录 而 
解密 整个 数据 库 文 件 是 无 效率 的 ， 但 独立 地 加 密 各 个 记录 又 容易 受到 分 组 重 放 类 的 攻击 。 

另外， 你 必须 确认 加 密 后 未 加 密 的 文件 已 删除 (参见 10. 9 节 )。 进 一 步 的 细节 和 研究 参 
见 文献 [425、569]]。 


10.4.1 非 关 联 密 钥 

当 对 一 个 大 的 硬盘 驱动 器 进行 加 密 时 ， 有 两 种 方法 。 你 可 以 用 一 个 单独 的 密 钥 对 所 有 的 
数据 进行 加 密 。 但 这 给 分 析 者 提供 了 大 量 用 于 分 析 的 密 文 ， 并 使 多 个 用 户 只 查看 驱动 器 的 一 
部 分 成 为 不 可 能 。 或 者 ， 你 可 以 用 不 同 的 密 钥 对 各 个 文件 进行 加 密 ， 这 迫使 用 户 去 记 住 每 个 
XPE BH 。 

解决 办 法 是 使 用 独立 的 密 钥 对 每 一 个 文件 进行 加 密 ， 然 后 用 一 个 每 个 用 户 都 知道 的 密 铀 
加 密 这 些 密 钥 。 每 个 用 户 只 需要 记 住 一 个 密 钥 ， 不 同 的 用 户 可 以 有 一 个 用 他 们 的 密 钥 加 密 的 
文件 加 密 密 钥 子 集 。 使 用 主 密 钥 对 每 一 个 文件 加 密 密 钥 加 密 。 这 会 更 加 安全 ， 因 为 文件 加 密 
密 钥 是 随机 的 ， 并 对 字典 攻击 不 敏感 。 


10.4.2 ”驱动 器 级 与 文件 级 加 密 
有 两 种 方法 加 密 便 盘 驱动 器 : 文件 级 和 驱动 器 级 。 文 件 级 加 密 是 指 每 一 个 文件 被 单独 加 


密 。 为 了 使 用 被 加 密 的 文件 ， 你 必须 先 解 密 ， 再 使 用 ， 再 重新 加 密 。 
驱动 器 级 加 密 用 在 用 户 的 一 个 逻辑 驱动 器 上 ， 对 所 有 的 数据 加 密 。 如 果 做 得 好 ， 可 以 提 
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供 很 好 的 安全 性 ， 它 比 选择 好 的 通信 字 更 安全 ， 不 需要 为 用 户 担心 。 然 而 ， 因 为 必须 要 处 理 
一 些 诸如 驱动 器 的 安装 、 文 件 新 扇 区 的 划分 、 文 件 老 扇 区 的 反复 应 用 、 逻 辑 磁 盘 上 数据 的 随 
机 存 取 和 更 新 请 求 等 ， 所 以 这 个 驱动 器 级 加 密 肯 定 比 单一 的 文件 加 密 程 序 复 杂 得 多 。 

通常 ， 局 动 前 驱动 器 会 提示 用 户 输入 一 个 口令 ， 它 用 于 产生 主 解密 密 钥 ， 然 后 用 主 密 钥 
解密 用 于 不 同 数 据 的 真正 的 解密 密 钥 。 

两 种 加 密 方 法 的 比较 见 表 10-5。 


表 10-5 文件 级 加 密 与 驱动 器 级 加 密 的 比较 











文件 级 加 密 驱动 器 加 密 
优点 
易 实现 和 使 用 临时 文件 、 工 作文 件 等 存储 在 安全 的 驱动 器 中 
具有 较 大 的 灵活 性 在 这 种 系统 里 很 难忘 记 重复 加 密 


相对 较 小 的 性 能 损失 
用 户 可 以 在 不 同 机 器 间 移 动 文件 
用 户 可 以 对 文件 做 备份 


安全 问题 
通过 无 安全 意识 程序 (如 为 了 和 暂 存 将 文件 写 和 磁盘) 用 设备 驱动 器 或 内 存 驻 留 程序 会 使 一 些 事情 出 错 
存在 潜在 泄露 量 差 的 程序 实现 允许 选择 明文 或 选择 密 文 攻击 
差 的 程序 实现 会 对 同一 个 口令 用 相同 的 密 钥 重复 加 密 如 果 整 个 系统 用 一 个 口令 加 密 ， 那 么 丢失 它 意 味 着 攻击 
者 得 到 了 一 切 
| 可 以 使 用 有 限 的 密码 算法 ， 如 不 能 使 用 OFB 序列 密码 
可 用 性 问题 
用 户 必 须 弄 明白 要 做 什么 存在 性 能 缺陷 
对 不 同 的 文件 可 能 有 不 同 的 口令 该 驱动 器 可 与 Windows、OS/2 DOS 仿真 、 设 备 驱 动 器 
所 选 文件 的 手动 加 密 是 唯一 的 存 取 控制 等 相互 作用 


10.4.3 提供 加 密 驱 动 器 的 随机 存 取 


大 多 数 系统 都 期 望 能 够 随机 存 取 单个 磁盘 扇 区 ， 这 给 在 链接 模式 下 使 用 序列 密码 和 分 组 
密码 增加 了 不 少 难度 。 下 面 提供 了 多 种 可 能 的 解决 方法 。 

可 以 使 用 扇 区 地 址 为 每 一 个 被 加 密 或 解密 的 扇 区 产生 一 个 唯一 的 IV。 该 方法 的 缺点 是 
每 一 个 扇 区 将 一 直 用 同一 个 IV 进行 加 密 。 确 信 这 不 是 一 个 安全 问题 。 

为 了 得 到 主 密 钥 ， 可 产生 一 个 与 某 个 扇 区 同样 大 小 的 伪 随 机 分 组 〈 例 如 ， 运行 OFB 模 
式 的 某 个 算法 可 以 做 到 这 点 ) 。 加 密 扇 区 时 ， 先 将 它 与 该 伪 随 机 分 组 异 或 ， 然 后 用 ECB 模式 
正常 地 加 密 。 该 方法 叫做 ECB 十 OFB (参见 15. 4 节 ) 。 

由 于 CBC 和 CFB 模式 是 错误 恢复 模式 ， 所 以 可 以 用 扇 区 上 除了 第 一 和 第 二 个 分 组 的 所 
有 数据 为 该 扁 区 产生 一 个 IV。 例 如 ， 扇 区 3001 的 IV 可 以 是 扇 区 除了 前 128 位 的 所 有 数据 
的 散 列 函 数 。 产 生 该 IV 后 ， 可 以 正常 地 在 CBC 模式 下 进行 加 密 。 为 了 对 该 扇 区 解密 ， 把 遍 





区 的 第 二 个 64 位 分 组 作为 一 个 IV， 然 后 对 扇 区 的 其 余部 分 进行 解密 ， 接 着 利用 解密 的 数 
据 ， 重 新 产生 一 个 IV， 再 对 第 一 个 128 位 解密 。 

可 以 使 用 有 很 大 分 组 的 分 组 密码 算法 ， 这 样 就 可 以 一 次 对 整个 扇 区 进行 加 密 。Crab 
参见 14. 6 节 ) 是 一 个 例子 。 
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10.5 硬件 加 密 与 软件 加 密 


10. 5. 1 硬件 


直到 最 近 ， 所 有 加 密 产品 都 是 特定 的 硬件 形式 。 将 这 些 加 密 / 解 密 盒 子 做 人 到 通信 线路 
中 ， 然 后 对 所 有 通过 的 数据 进行 加 密 。 虽 然 软件 加 密 在 今天 正 变 得 很 流行 ， 但 硬件 仍 是 商业 
和 军事 应 用 的 主要 选择 。 例 如 ，NSA 只 对 硬件 加 密 授权 使 用 。 为 什么 这 样 是 有 原因 的 。 

首先 是 速度 。 正 如 我 们 在 第 三 部 分 看 到 的 那样 ， 加 密 算法 含有 很 多 对 明文 位 的 复杂 运 
A, 没有 哪 类 这 样 的 运算 能 在 一 般 的 计算 机 上 进行 。 两 种 最 常见 的 加 密 算法 ，DES 和 RSA, 
在 普通 用 途 的 微 处 理 器 上 运行 没有 效率 可 言 。 尽 管 有 些 密码 设计 者 不 断 尝试 使 算法 更 适合 软 
件 实现 ， 但 特殊 的 硬件 将 一 直 占 据 速 度 的 优势 。 

另外 ， 加 密 常 常 是 高 强度 的 计算 任务 。 计 算 机 微 处 理 器 对 此 效率 不 高 ， 将 加 密 移 到 芯片 
上 ， 即 使 那个 芯片 仅 是 另 一 个 处 理 器 ， 也 会 使 整个 系统 速度 加 快 。 

硬件 流行 的 第 二 个 原因 是 安全 性 。 对 运行 在 没有 物理 保护 的 一 般 计 算 机 上 的 某 个 加 密 算 
法 ，Mallory 可 以 用 各 种 跟踪 工具 秘密 修改 算法 而 使 任何 人 都 不 知道 。 硬 件 加 密 设 备 可 以 安 
全 地 封装 起 来 ， 以 避免 此 类 事情 发 生 ， 防 窜改 盒 能 防止 别人 修改 硬件 加 密 设 备 。 特 殊 目 的 的 
VLSI 心 片 可 以 覆盖 一 层 化 学 物质 ， 使 得 任何 企图 对 它们 内 部 进行 访问 都 将 导致 芯片 逻辑 的 
破坏 。 美 国政 府 的 Clipper 和 Capstone 芯片 (参见 24.16 节 和 24. 17 W) 都 设计 成 防 窜改 ， 
芯片 设计 成 这 样 就 使 Mallory 不 可 能 读 到 未 加 密 的 密 钥 。 

IBM 开发 了 一 种 用 来 加 密 主 机 数据 和 通信 的 加 密 系统 5 "1 。 它 包括 用 防 窜改 模块 保 
存 密 钥 ， 这 个 系统 在 24.1 节 中 讨论 。 

电磁 辐射 有 时 会 暴露 电子 设备 内 正在 处 理 的 东西 。 可 以 将 加 密 盒子 屏蔽 起 来 ， 使 得 信息 
不 泄露 。 一 般 的 计算 机 也 可 以 屏蔽 ， 但 却 是 一 个 非常 复杂 的 问题 。 美 军 称 这 类 操作 为 TEM- 
PEST， 这 个 课题 远 远 超出 了 本 书 范围 。 

硬件 流行 的 最 后 一 个 原因 是 易于 安装 。 大 多 数 加 密 应 用 与 普通 计算 机 无 关 。 多 数 人 和 希望 
加 密 他 们 的 电话 会 话 、 传 真 或 数据 链 路 。 将 专用 加 密 硬 件 放 在 电话 、 传 真 机 和 调制 解 调 器 中 
比 放 在 微 处 理 器 或 软件 中 便宜 得 多 。 

即使 当 加 密 数 据 来 自 计算 机 时 ， 安 装 一 个 专用 加 密 设备 也 比 修改 计算 机 系统 软件 更 
容易 。 
加 密 应 该 是 不 可 见 的 ， 它 不 应 该 妨碍 用 户 。 对 于 软件 ， 要 做 到 这 点 的 唯一 办 法 是 将 加 密 
程序 写 在 操作 系统 软件 的 深 处 ， 这 很 不 容易 。 另 一 方面 ， 就 是 初学 者 也 能 将 加 密 盒 插 在 计算 
机 和 外 接 调制 解 调 器 之 间 。 

目前 ， 市 场 上 有 三 类 基本 的 加 密 硬 件 : 自 带 加 密 模 块 〈 可 完成 一 些 如 银行 口令 确认 和 密 
钥 管 理 等 功能 )、 用 于 通信 和 链 路 的 专用 加 密 盒 以 及 可 插入 个 人 计算 机 的 插 卡 。 

某 些 加 密 盒 是 为 某 些 具体 的 通信 链 路 设计 的 ， 如 T-1 加 密 盒 设计 成 不 加 密 同 步 位 。 用 于 
同步 或 异步 通信 和 链 路 的 加 密 盒 是 不 同 的 。 较 新 的 一 些 加 密 盒 趋向 于 处 理 更 高 的 位 速率 和 高 通 
用 性 。 

即使 如 此 ， 许 多 加 密 设 备 也 有 一 些 不 相 容 问题 ， 购 买 者 应 该 小 心 注 意 这 些 差别 ， 并 了 解 
它们 的 特殊 用 处 ， 避 免 自 己 购买 的 加 密 设 备 不 能 满足 要 求 。 特 别 要 注意 硬件 类 型 、 操 作 系 
统 、 应 用 软件 、 网 络 等 方面 的 限制 。 

PC 板 加 密 器 通常 将 所 有 写 到 硬盘 上 的 东西 进行 加 密 ， 并 且 可 以 进行 配置 以 将 写 到 软盘 
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和 串口 的 东西 都 加 密 。 这 些 板 并 不 屏蔽 电磁 辐射 或 物理 干扰 ， 因 为 如 果 计 算 机 不 受 影响 ， 那 
么 保护 这 些 板 是 没有 意义 的 。 

越 来 越 多 的 公司 开始 将 加 密 硬 件 设备 安装 到 他 们 的 通信 设备 上 。 保 密 电 话 、 传 真 机 和 调 
制 解 调 器 都 可 以 买 到 。 

虽然 有 多 少 种 设备 ， 就 有 多 少 种 不 同 的 解决 方案 ， 但 这 些 设 备 的 内 部 密 钥 管理 通常 是 安 
全 的 。 有 些 方案 在 一 种 场合 比 在 另 一 种 场合 更 合适 ， 购 买 者 应 该 懂得 哪 类 密 钥 管理 与 加 密 盒 
相 结合 ， 哪 类 是 自己 所 期 望 的 。 


10.5.2 软件 


任何 加 密 算法 都 可 以 用 软件 实现 。 软 件 实现 的 不 利之 处 是 速度 、 开 销 和 易于 改动 〈 或 操 
作 )。 有 利之 处 是 灵活 性 和 可 移植 性 、 易 使 用 、 易 升级 。 本 书 末 尾 采 用 C 语言 写 的 算法 ， 稍 
做 修改 便 可 以 在 任何 计算 机 上 实现 。 可 以 不 花 一 分 钱 将 它们 容易 地 复制 ， 并 安装 在 许多 机 器 
上 。 它 们 也 能 和 大 型 应 用 《〈 如 通信 或 字 处 理 程序 ) 相 结合 。 

软件 加 密 程序 很 大 众 化 ， 并 可 以 用 于 大 多 数 操作 系统 。 这 些 可 用 于 保护 个 人 文件 ， 用 户 
通常 必须 手动 加 密 和 解密 文件 。 密 钥 管理 方案 的 安全 性 很 重要 ， 密 钥 不 应 当 存 储 在 磁盘 的 任 
何 一 处 〈 甚 至 也 不 应 该 写 在 处 理 器 与 磁盘 交换 数据 的 内 存 中 )。 密 钥 和 未 加 密 文 件 在 加 密 后 
应 删除 ， 许 多 程序 对 这 点 都 很 草率 ， 用 户 必 须 仔 细 选 择 。 

当然 ，Mallory 可 以 一 直 用 无 用 的 东西 替换 软件 加 密 算法 。 但 对 大 多 数 用 户 来 说 ， 这 不 
是 什么 问题 。 如 果 Mallory 能 够 潜入 办 公 室 将 加 密 程 序 修 改 ， 也 能 将 一 台 隐 形 摄 像 机 置 于 墙 
中 ， 搭 线 窃听 电话 线路 ， 或 者 将 一 台 TEMPEST 检测 仪 放 于 墙 下 。 如 果 Mallory 确实 比 一 
般 用 户 更 强 有 力 ， 那 么 用 户 早 在 游戏 开始 之 前 就 输 掉 了 。 


10.6 EM. 编码 及 加 密 

将 数据 压缩 算法 与 加 密 算法 一 起 使 用 很 有 意义 : 

。 如 果 密 码 分 析 依靠 明文 中 的 元 余 ， 那 么 压缩 将 使 文件 在 加 密 之 前 减少 元 余 。 

。 加 密 是 耗 时 的 ， 在 加 密 之 前 压缩 文件 可 以 提高 整个 处 理 过 程 的 速度 。 

需要 重点 记 住 的 是 压缩 要 在 加 密 之 前 进行 。 如 果 加 密 算法 真 的 很 好 ， 那 么 密 文 是 不 可 压 
缩 的 ， 它 看 上 去 就 像 随机 数据 。( 这 个 可 作为 一 种 检验 加 密 算 法 的 测试 方法 ， 如 果 密 文 是 可 
以 压缩 的 ， 说 明 所 使 用 的 算法 不 是 很 好 。) 

如 果 你 想 加 进 某 种 传输 编码 或 错误 检测 和 恢复 ， 记 住 要 在 加 密 之 后 。 如 果 在 通信 信道 有 
噪声 存在 ， 解 密 的 错误 扩散 特性 会 使 得 噪声 更 严重 。 图 10-3 总 结 了 这 些 步骤 。 


数据 


重复 请 求 
图 10-3 带 有 压缩 和 错误 控制 的 加 密 





10.7 检测 加 密 

Eve 怎样 检测 一 个 加 密 的 文件 呢 ? Eve 从 事 间 谍 行 业 ， 所 以 这 是 一 个 重要 的 问题 。 设 想 
她 在 网 络 上 偷 听 向 四 方 高 速 传播 的 信息 ， 她 必须 挑选 对 她 有 意义 的 那些 。 加 密 文 件 确实 是 有 
趣 的 ， 但 她 是 怎样 知道 它们 是 加 密 的 呢 ? 
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通常 ， 她 依赖 于 以 下 事实 : 大 多 数 流行 的 加 密 程序 都 有 定义 良好 的 标题 。 由 于 这 个 原因 ， 
用 PEM 和 PGP (参见 24. 10 和 24. 12 节 ) 加 密 的 电子 邮件 消息 可 以 很 容易 地 被 辨别 出 来 。 
其 他 加 密 器 (包括 软件 ) 也 只 是 产生 貌似 随机 位 序列 的 密 文 文件 。 她 是 怎样 从 其 他 貌似 
随机 位 序列 中 将 其 区 分 出 来 的 呢 ? 没有 确定 的 方法 ,但 Eve 可 以 试 着 做 大 量 的 事情 : 
。 检查 文件 。ASCII 码 文本 很 容易 认 出 。 其 他 的 文件 格式 ， 如 TIFF, TeX, C, AR 
附 言 、G3 传真 和 微软 Excel 等 都 有 标准 的 辨别 特性 。 执 行 代码 同样 也 是 可 以 检测 到 
的 。UNIX 文件 通常 有 “ 幻 数 ”可 供 检测 。 
。 用 带 用 的 压缩 算法 试 着 对 文件 进行 解压 。 如 果 文 件 被 压缩 〈 并 没有 加 密 ) ， 她 就 可 以 
恢复 出 原始 文件 。 
。 试 着 压缩 文件 。 如 果 文 件 是 密 文 〈 且 算法 良好 )， 那 么 文件 被 通用 压缩 程序 有 效 压 缩 
的 可 能 性 会 很 小 0“ 有 效 ” 是 指 超过 1% 一 2%)。 如 果 是 其 他 文件 〈 例 如 ， 二 进 制 图 
像 、 二 进 制 数 据 文件 等 )， 都 可 能 被 压缩 。 
任何 不 能 被 压缩 且 没 被 压缩 过 的 文件 很 可 能 就 是 密 文 。 当然， 也 可 以 特别 制造 可 被 压 
缩 的 密 文 。) 对 算法 进行 识别 更 加 困难 。 如 果 算 法 是 好 的 ， 你 不 可 能 识别 ， 如 果 算 法 有 某 种 
轻微 的 偏差 ， 那 么 就 有 可 能 在 文件 中 辨别 出 这 些 偏差 。 然 而 ， 偏 差 必须 有 明显 的 意义 ,或 文 
件 必 须 足 够 大 才能 很 好 地 进行 。 


10.8 密 文 中 隐藏 密 文 


在 过 去 几 年 里 ，Alice 和 Bob 一 直 是 互相 用 密 文 发 送 消息 。Eve 将 所 有 的 这 些 消息 全 部 
收集 起 来 ， 但 对 它们 无 可 奈何 。 最 后 ， 秘 密 警 察 为 这 些 不 可 读 的 密 文 烦 透 了 ,于 是 就 把 他 俩 
抓 了 起 来 ,“ 把 密 钥 交 出 来 !” 他 们 命令 道 。Alice 和 Bob 拒绝 了 ， 但 随后 他 们 就 找到 了 对 付 
的 办 法 。 他 们 怎样 去 做 呢 ? 

加 密 一 个 文件 而 有 两 种 解密 方法 ， 每 一 种 用 各 自 不 同 的 密 钥 ， 这 不 是 很 好 。Alice 可 以 
用 他 们 的 共享 密 钥 加 密 发 给 Bob 的 真正 消息 ， 再 用 其 他 密 钥 加 密 一 些 无 关 紧要 的 消息 。 如 
采 Alice 被 捕 ， 她 可 以 供出 加 密 无 关 紧 要 消息 的 密 钥 ， 而 对 真正 的 密 钥 守 口 如 瓶 。 

做 到 这 点 最 简单 的 方法 是 使 用 一 次 一 密 乱码 本 。 假 设 P 是 明文 ，D 是 虚假 明文 ，C 是 
密 文 ，K 是 真正 的 密 钥 ， 开 是 虚假 密 钥 。Alice 加 密 P: 


P®K =C 
Alice 和 Bob 共享 密 钥 KE， 所 以 Bob 可 以 解密 C: 
C@®K =P 
如 果 秘 密 警 察 强 迫 他 们 供出 密 钥 ， 他 们 并 不 会 供出 密 钥 K， 而 是 : 
K'=C@D 
秘密 警察 就 用 它 恢复 出 了 明文 一 一 虚假 明文 : 
C@K'=D 


因为 使 用 的 是 一 次 一 密 乱码 本 ， 且 K 是 完全 随机 的 ， 所 以 没有 任何 方法 证 实 K' 不 是 真 
正 密 钥 。 为 了 更 具 信 服 力 ，Alice 和 Bob 可 以 编造 一 些 轻 度 不 犯法 的 虚假 消息 代替 根本 没有 
犯法 的 真正 消息 。 一 对 以 色 列 间谍 曾经 这 样 做 过 。 

Alice 可 以 用 她 喜爱 的 算法 和 密 钥 K 加 密 忆 得 到 C。 然 后 将 C 与 一 些 世 俗 的 明文 (如 
《傲慢 与 偏见 》) 异 或 来 得 到 K'。 她 将 C 和 这 些 异 或 运算 存储 在 她 的 硬盘 上 。 现 在 ， 当 安全 
局 审讯 她 时 ， 她 可 以 解释 她 是 一 个 业余 的 密码 爱好 者 ，K' 只 不 过 是 C 的 一 次 一 密 乱 码 本 。 
安全 局 可 能 怀疑 某 些 东 西 ， 但 除非 他 们 已 知 密 钥 KK; 否则 他 们 无 法 证 实 Alice 的 解释 不 
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合理 。 
另 一 个 方法 是 用 对 称 算法 的 密 钥 K 对 P 加 密 ， 用 密 钥 K' 对 D 进行 加 密 。 打 乱 密 文 的 位 
(或 字 节 ) 产生 最 后 的 密 文 。 如 果 安 全 局 需要 密 钥 ，Alice 就 将 K' 交 出 并 说 出 打 乱 的 位 (或 字 
节 ) 是 为 挫败 密码 分 析 而 设计 的 随机 品 声 。 麻 烦 就 出 在 她 的 解释 太 令 人 相信 了 ， 以 至 于 安全 局 
很 可 能 不 信 她 (仔细 考虑 本 书 的 建议 )。 

对 Alice 来 说 ,一 个 更 好 的 方法 是 产生 一 个 虚假 消息 D， 将 明文 P 和 DD 级 联 ， 然 后 压缩 后 
使 大 小 与 一 样 。 令 级 联 为 P Alice 接着 用 她 跟 Bob 共享 的 算法 加 密 P'， 得 到 C， 并 将 它 传 
给 Bob, Bob 解密 得 到 P'、P 和 D。 然 后 两 人 同时 计算 C@@D 二 K 。 当 安全 局 吨 开 他 们 的 门 
时 ，K' 就 变 成 了 虚假 一 次 一 密 乱码 本 。Alice 必须 把 DD 传送 出 去 ， 这 样 两 人 就 伪造 了 现场 。 

对 Alice 来 说 ， 其 他 方法 是 利用 无 关 紧要 的 消息 ， 并 通过 某 些 纠 错 编码 运行 它 。 然 后 引 
入 一 些 与 秘密 的 加 密 消 息 有 关 的 错误 。 在 接收 端 ，Bob 提取 错误 ， 恢 复 秘密 消息 并 解密 。 
Alice 和 Bob 或 许 被 强迫 去 解释 为 什么 在 无 噪声 的 计算 机 网 络 上 会 一 直 有 30% 的 错 码 率 ， 但 
在 其 他 环境 中 该 方案 可 以 实施 。 

最 后 ，Alice 和 Bob 可 以 在 他 们 的 数字 签名 算法 中 使 用 国 下 信道 〈 参 见 4.2 和 23.3 节 )。 
该 方法 是 检测 不 到 的 ， 可 以 很 好 地 使 用 ， 但 它 有 一 个 缺点 是 每 个 签名 无 关 紧 要 的 消息 只 允许 
20 左右 的 国 下 文本 字符 。 它 并 不 适合 传送 密 钥 。 


10.9 销毁 信息 


在 大 多 数 计算 机 上 删除 一 个 文件 时 ， 该 文件 并 没有 真 的 被 删除 。 删 除 的 唯一 的 东西 就 是 
磁盘 索引 文件 中 的 人口， 磁盘 索引 文件 用 来 告诉 机 器 磁盘 上 的 数据 在 哪里 。 许 多 软件 供应 商 
不 失 时 机 地 出 售 文件 恢复 软件 ， 它 们 可 以 在 文件 被 删除 后 将 其 恢复 。 

还 有 其 他 方面 的 担忧 : 虚拟 内 存 意 味 着 计算 机 可 以 随时 将 内 存 读 、 写 到 磁盘 。 即 使 你 没 
有 保存 它 ， 也 永远 不 知道 你 正在 运行 的 一 个 敏感 文件 是 什么 时 候 写 到 磁盘 上 的 。 这 就 是 说 ， 
即使 你 从 来 未 保存 过 明文 ， 计 算 机 也 可 能 蔡 你 做 。 即 使 像 Stacker 和 DoubleSpace 这 样 的 驱 
动 器 级 的 压缩 程序 也 很 难 预 测 数据 是 怎样 和 什么 时 候 存储 到 磁盘 上 的 。 

为 了 删除 某 个 文件 ， 以 使 文件 恢复 软件 读 它 ， 必 须 对 磁盘 上 文件 的 所 有 位 进行 物理 写 履 
盖 。 根 据 国 家 计算 机 安全 中 的 规定 "7”” : 


写 履 盖 就 是 将 不 涉及 安全 的 数据 写 到 以 前 曾 存 放 敏 感 数 据 的 存储 位 置 ……: 为 了 
彻底 清除 …… 存储 介质 ，DoD 要 求 先 用 一 种 格式 进行 写 履 盖 ， 然 后 用 该 格式 的 补 
码 ， 最 后 用 另 一 种 格式 。 例 如 ， 先 用 0011 0101， 接 着 用 1100 1010， 再 接着 用 
1001 0111。 写 覆盖 的 次 数 根据 存储 介质 而 定 ， 有 时 依赖 信息 的 敏感 程度 ， 有 时 依 
赖 不 同 的 DoD 部 分 要 求 。 无 论 怎样 ， 在 最 后 没有 用 不 涉及 安全 的 数据 写 履 盖 之 前 ， 
彻底 清除 就 没有 完成 。 
你 可 能 必须 删除 某 个 文件 或 清除 整个 驱动 器 ， 你 也 应 当 清除 磁盘 上 所 有 没有 用 的 空间 。 
大 多 数 商 用 程序 声称 实现 了 DoD 标准 覆盖 3 次 : 首先 用 全 1; 接着 用 全 0; 最 后 用 1-0 
格式 重复 进行 。 按 照 我 的 一 般 的 偏执 狂 级 别 ， 我 建议 覆盖 一 个 被 删除 的 文件 需要 7 次 : 首先 
全 1; 其 次 全 0; 其 余 5 次 用 密码 学 安全 的 伪 随 机 序列 。 最 近 ， 国 家 标准 和 技术 研究 所 对 电 
子 隧道 显微镜 的 研究 表明 ， 即 使 这 样 也 是 不 够 的 。 说 实话 ， 如 果 你 的 数据 的 确 有 足够 大 的 价 
值 ， 还 是 相信 从 磁性 介质 上 完全 清除 数据 是 不 可 能 的 吧 ! 将 介质 烧 掉 或 切 碎 ， 买 张 新 磁 盘 比 
丢失 秘密 便宜 得 多 。 
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数学 背景 





11.1 信息 论 


Claude Elmwood Shannon 于 1948 年 首先 确立 了 现代 信息 论 0432432 (IEEE 出 版 社 最 近 
再 版 了 他 的 论文 ;。 更 好 的 数学 论述 见 文献 1593]。 本 节 将 简单 地 介绍 这 方面 的 一 些 重要 


思 想 o 


11.1.1 HAAN Re E 


信息 论 定 义 一 条 消息 的 信息 量 (amount of information) 如 下 : 假设 所 有 消息 是 等 可 能 
的 ， 对 消息 中 所 有 可 能 的 值 进行 编码 所 需要 的 最 少 位 数 。 例 如 ， 数 据 库 中 有 关 “ 一 周 中 的 每 
一 天 ”这 一 字段 包含 不 超过 3 位 的 信息 ， 因 为 此 消息 可 以 用 3 位 进行 编码 : 

000 王 星期 日 

001 王 星期 一 

010 王 星期 二 

011 王 星期 三 

100 王 星期 四 

101 三 星期 五 

110= BWA 

111 是 未 用 的 

如 果 这 些 信 息 用 对 应 的 ASCII 码 字 符 串 来 表示 ， 它 将 占用 更 多 的 存储 空间 ， 但 不 会 包 
含 更 多 的 信息 。 同 样 ， 数 据 库 中 “性 别 ” 这 项 仅 含 有 1 位 信息 ， 即 使 它 或 许可 以 用 两 个 6 字 
节 的 ASCI 码 字 符 串 MAN 或 FEMALE 中 的 一 种 存储 。 

形式 化 地 ， 一 条 消息 MYR RTE Centropy) 来 度量 ， 表 示 为 HM). — 
STN PESTA BE 1 位 ; 一 条 表示 一 周 天 数 消息 的 炉 稍微 小 于 3 位 。 通 常 ， 一 条 消息 的 
Wize logen, HP n 是 消息 所 有 可 能 的 值 。 此 处 假设 每 一 个 值 是 等 可 能 的 。 

一 条 消息 的 炉 也 表示 了 它 的 不 确定 性 (uncertainty)， 即 当 消 息 被 加 密 成 密 文 时 ， 为 了 
-获取 明文 ， 需 要 解密 的 明文 的 位 数 。 例 如 ， 如 果 密 文 “QHP x 5M” 要 么 是 “ 男 ”， 要 么 是 
“ 女 ”"， 那 么 此 消息 的 不 确定 性 是 1。 密 码 分 析 者 为 了 恢复 此 消息 ， 仪 需 选 择 1 位 。 


11. 1.2 语言 信息 率 


对 一 种 给 定 的 语言 ， 其 语言 信息 率 (rate of language) 是 
r = H(M)/N 
其 中 ， 六 是 消息 的 长 度 。 在 N 相当 大 时 ， 标准 英语 的 语言 信息 率 (r 值 ) 在 1.0 位 /字母 与 
1.5 位 /字母 之 间 。Shanon 指出 信息 率 与 文本 的 长 度 有 关 "239 ，8 个 字母 的 字符 串 的 语言 信 
息 率 为 2.3 位 /字母 ， 而 16 个 字母 的 字符 串 的 语言 信息 率 则 降 到 了 1. 3 位 /字母 与 1. 5 位 / 字 
母 之 间 。Thomas Cover 采用 随机 估算 技术 得 到 的 信息 率 为 1. 3 WFR, (本 书 将 采用 
1. 3 位 /字符 )。 语 言 绝 对 信息 率 (absolute rate) 的 定义 为 : 假定 每 一 个 字符 串 是 等 可 能 的 ， 
对 每 一 个 字母 而 言 可 被 编码 的 最 大 位 数 。 如 果 在 一 种 语言 中 有 工 个 字母 ， 其 绝对 信息 率 是 
R = log;L 
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英语 有 26 个 字母 ， 其 绝对 信息 率 是 log, 26 王 4.7 位 /字母 。 英 语 的 实际 信息 率 大 大 低 于 
其 绝对 信息 率 ， 这 一 点 任何 人 都 不 会 感到 惊奇 。 自 然 语言 具有 高 宛 余 度 。 

AEA HY TA (redundancy) 称 为 D， 定 义 为 : 

D=R-r 

已 知 英语 的 信息 率 是 1. 3， 其 宛 余 度 是 3.4 位 /字母 。 这 意味 着 每 个 英语 字母 携带 3.4 位 的 
元 余 信息 。 

一 条 ASCH 码 消息 ， 其 每 字 节 消息 含有 与 英语 相等 的 1. 3 位 的 信息 。 这 意味 着 它 的 宛 
余 信息 为 6.7 位 ， 相 当 于 每 位 ASCII 码 文本 有 0. 84 位 信息 的 完 余 度 。 同 样 的 消息 在 博多 机 
(BAUDOT) 中 ， 每 个 字符 表示 成 5 位 ， 则 博多 机 文本 的 每 一 位 有 0. 74 位 的 宛 余 度 和 0. 26 
位 的 粮 。 空 格 、 标 点 、 数 字 和 格式 码 将 会 改变 这 些 结果 。 


11.1.3 密码 系统 的 安全 性 


Shannon 给 安全 的 密码 系统 定义 了 一 个 精确 的 数学 模型 。 密 码 分 析 者 的 目的 是 获取 密 钥 
K 或 明文 已 ， 或 两 者 都 要 。 然 而 ， 他 们 也 乐于 得 到 一 些 有 关 已 的 统计 信息 : 它 是 否 是 数字 
化 的 语音 信号 、 德 文 或 电子 报表 数据 等 。 

在 几乎 所 有 实际 的 密码 分 析 中 ， 分 析 者 在 开始 着 手 前 ， 总 有 一 些 有 关 P 的 统计 信息 。 
他 们 可 能 知道 明文 的 语言 。 这 种 语言 有 一 个 确定 的 与 之 相伴 的 匈 余 度 。 如 果 它 是 给 Bob 的 
消息 ， 它 在 开头 可 能 用 Dear Bob。 当 然 Dear Bob HE e8T&g[,m 更 有 可 能 ,密码 分 析 的 目的 
是 通过 分 析 改 变 关于 每 个 可 能 明文 的 可 能 性 。 最 后 ， 一 个 明文 当然 〈 至 少 非常 可 能 ) 会 从 所 
有 可 能 的 明文 集合 中 暴露 出 来 。 

有 一 种 方法 可 获得 完全 保密 (perfect secrecy) 的 密码 系统 。 在 这 样 的 系统 中 ， 密 文 不 
会 给 出 有 关 明 文 的 任何 信息 (除了 它 的 长 度 可 能 给 出 外 )。Shannon 从 理论 上 证 明 ， 仅 当 可 
能 的 密 钥 数目 至 少 与 可 能 的 消息 数目 一 样 多 时 ， 它 (完全 保密 ) 才 是 有 可 能 的 。 换 句 话 说 ， 
密 钥 必须 至 少 与 消息 本 身 一 样 长 ， 并 且 不 重复 使 用 。 简 而 言 之 ， 仅 有 一 次 一 密 乱码 本 (参见 
1.5 节 ) 的 密码 系统 才能 获得 完全 保密 。 

从 完全 保密 的 角度 而 言 ， 密 文 给 出 一 些 有 关 其 对 应 明文 的 信息 是 不 可 避免 的 。 一 个 好 的 
密码 算法 可 使 这 样 的 信息 最 少 ， 一 个 好 的 密码 分 析 者 利用 这 类 信息 可 以 确定 明文 。 

密码 分 析 者 利用 自然 语言 的 元 余 度 来 减少 可 能 的 明文 数目 。 语 言 的 元 余 度 越 大 ， 它 就 越 
容易 被 攻击 。 许 多 正在 使 用 的 密码 装置 在 加 密 明文 前 ， 都 要 用 一 个 压缩 程序 减少 明文 大 小 ， 
其 原因 就 在 于 此 。 加 密 、 解 密 时 均 须 压缩 处 理 来 降低 消息 的 元 余 度 。 

RH FA SEAS HT h PS AV) K 来 衡量 : 

H(K) = log, K 

密 钥 为 64 i Wy A ASE AE 64， 同 样 ，56 Hr RE A 6, OR, 

BASH MRK, REE eA. 


11.1.4 唯一 解 距离 


对 一 个 长 度 为 n 的 消息 而 言 ， 将 一 个 密 文 消息 解密 为 同一 语言 中 某 个 有 意义 的 明文 ， 不 
同 密 钥 的 数目 由 下 式 给 出 "25 : 


2H-mD 一 1 


Shannonl431 定 义 唯 一 解 距离 (unidty distance) U (也 称 为 唯一 解 点 ) 为 : 使 得 对 应 明 
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文 的 实际 信息 RD Sam BER A BS A A SF a a 
比 这 个 距离 长 的 密 文 可 合理 地 确定 唯一 的 有 意义 的 解密 文本 ; 比 这 个 距离 短 的 密 文 则 可 能 会 
有 多 个 同样 有 效 的 解密 文本 ， 因 而 令 敌 手 从 其 中 选 出 正确 的 一 个 是 困难 的 ， 从 而 获得 了 安 
全 性 。 

对 大 多 数 对 称 密码 系统 而 言 ， 唯 一 解 距离 定义 为 密码 系统 的 炉 除 以 语言 的 元 余 度 。 

U = H(K)/D 

唯一 解 距离 与 所 有 统计 的 或 信息 论 的 指标 一 样 ， 只 能 给 出 可 能 的 结果 ， 并 不 能 给 出 肯定 
预测 。 唯 一 解 距 离 指出 了 当 进 行 穷 举 攻击 时 ， 可 能 解密 出 唯一 有 意义 的 明文 所 需要 的 最 少 密 
文 量 。 一 般 而 言 ， 唯 一 解 距离 越 长 ， 密 码 系统 越 好 。 对 有 56 位 密 钥 和 用 ASCI 码 字符 表示 
的 英文 消息 来 说 ，DES 的 唯一 解 距离 大 约 是 8. 2 个 ASCII 码 字 符 , 或 66 位 。 表 11-1 给 出 了 
密 钥 长 度 变化 对 应 的 唯一 解 距离 。 一 些 经 典 的 密码 系统 的 唯一 解 距离 见 文献 [445]. 


表 11-1 可 变 密 钥 长 度 的 ASC! 码 文本 加 密 算 法 的 唯一 解 距离 





密 钥 长 度 〈 位 ) 唯一 解 距离 (字符 ) MAKE Ci) 唯一 解 距离 (字符) 
40 5.9 80 11.8 
56 8.2 128 18. 8 
64 9.4 256 37.6 





唯一 解 距离 不 是 对 密码 分 析 需 要 多 少 密 文 的 度量 ， 而 是 对 存在 唯一 合理 的 密码 分 析 所 需 
要 的 密 文 数量 的 指标 。 对 密码 系统 进行 破译 在 计算 上 有 可 能 是 不 可 行 的 ， 即 使 它 在 理论 上 以 
相对 少量 的 密 文 是 可 能 的 《非常 深奥 的 相对 密码 学 理论 见 文献 [230、231、232、233、234、 
235]) 。 唯 一 解 距离 与 元 余 度 成 反比 。 当 宛 余 度 接近 于 零 时 ， 即 使 一 个 普通 的 密码 系统 也 可 
能 是 不 可 破 的 。 

Shannon 把 唯一 解 距离 为 无 穷 大 的 密码 系统 定义 为 具有 理想 保密 (ideal secrecy) 的 。 
注意 ， 虽 然 一 个 完全 保密 的 密码 系统 必须 是 一 个 理想 保密 的 密码 系统 ， 但 一 个 理想 保密 的 密 
码 系统 不 一 定 是 一 个 完全 保密 的 密码 系统 。 如 果 一 个 密码 系统 具有 理想 保密 性 ， 即 使 成 功 的 
密码 分 析 者 也 不 能 确定 解 的 明文 是 否 是 真正 的 明文 。 


11.1.5 信息 论 的 运用 


虽然 以 上 这 些 结论 具有 很 大 的 理论 价值 ， 但 实际 上 密码 分 析 者 很 少 沿 这 个 方向 工作 。 唯 
一 解 距离 可 以 保证 当 其 太 小 时 ， 密 码 系 统 是 不 安全 的 ， 但 并 不 保证 当 其 较 大 时 ， 密 码 系统 就 
是 安全 的 。 很 少 有 实际 的 算法 在 密码 分 析 上 是 绝对 不 可 破 的 。 各 种 特点 起 着 破译 加 密 信息 的 
突破 作用 。 然 而 ， 类 似 于 上 述 信息 论 方面 的 考虑 有 时 也 很 有 用 。 例 如 ， 为 一 个 确定 的 算法 建 
议 一 个 密 钥 变 化 间隔 〈 周 期 )。 密 码 分 析 者 也 曾 利用 各 种 统计 和 信息 论 的 检测 方法 ， 以 便 在 
许多 可 能 的 方向 中 帮助 引导 分 析 。 不 幸 的 是 ， 大 多 数 有 关 信 息 论 在 密码 分 析 上 的 应 用 文献 仍 
然 是 保密 的 ， 包 括 Alan Turing 1940 年 的 最 初 成 果 。 


11.1.6 混乱 和 扩散 


Shannon 提出 了 两 种 隐蔽 明文 消息 中 宛 余 度 的 基本 技术 : 混乱 和 扩散 "3 。 

混乱 (confusion) 用 于 掩盖 明文 和 密 文 之 间 的 关系 。 这 可 以 挫败 通过 研究 密 文 以 获取 
元 余 度 和 统计 模式 的 企图 。 做 到 这 点 最 容易 的 方法 是 通过 代替 。 简 单 的 代替 密码 ， 如 凯撒 移 
位 密码 ， 其 中 每 一 个 确定 的 明文 字符 被 一 个 密 文字 符 所 代替 。 现 代 的 代替 密码 更 复杂 : 一 个 
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长 的 明文 分 组 被 代替 成 一 个 不 同 的 密 文 分 组 ， 并 且 代 替 的 机 制 随 明 文 或 密 钥 中 的 每 一 位 发 生 
变化 。 这 种 代替 也 不 一 定 就 够 了 ， 德 国 的 恩 尼 格 马 是 一 个 复杂 的 代替 算法 ， 但 在 第 二 次 世界 
大 战 期 间 就 被 破译 了 。 

扩散 (diffusion) 通过 将 明文 元 余 度 分 散 到 密 文 中 使 之 分 散 开 来 。 密 码 分 析 者 寻求 这 些 
宛 余 度 将 会 更 难 。 产 生 扩 散 最 简单 的 方法 是 通过 换 位 〈 也 称 为 置换 ) 。 简 单 的 换 位 密码 ， 如 
列 换 位 体制 ， 只 简单 地 重新 排列 明文 字符 。 现 代 密 码 也 有 这 种 类 型 的 置换 ， 但 它们 也 利用 其 
他 能 将 部 分 消息 散布 到 整个 消息 的 扩散 类 型 。 

虽然 序列 密码 的 一 些 反 馈 设 计 加 进 了 扩散 ， 但 它 只 依赖 于 混乱 。 分 组 密码 算法 既 用 到 
混乱 ， 又 用 到 扩散 。 通 常 ， 单 独 用 扩散 容易 被 攻破 〈 尽 管 二 重 换 位 密码 优 于 其 他 的 许多 
手工 系统 )。 


11.2 复杂 性 理论 

复杂 性 理论 提供 了 一 种 分 析 不 同 密码 技术 和 算法 的 计算 复杂 性 (computational complexity) 
的 方法 。 它 对 密码 算法 和 技术 进行 比较 ， 然 后 确定 它们 的 安全 性 。 信 息 论 告诉 我 们 ， 所 有 的 密 
码 算 法 〈 除 了 一 次 一 密 乱 码 本 ) 都 能 被 破译 。 复 杂 性 理论 告诉 我 们 在 宇宙 爆炸 前 它们 能 和 否 被 
破译 。 





11.2.1 算法 的 复杂 性 

算法 的 复杂 性 即 运行 它 所 需要 的 计算 能 力 。 算 法 的 计算 复杂 性 常常 用 两 个 变量 来 度量 : 
T (时间 复杂 性 (time complexity)) 和 S (空间 复杂 性 (space complexity)， 或 所 需 的 存储 
空间 )。 工 和 S 通常 表示 为 n 的 函数 ，n 是 输入 的 大 小 (算法 的 计算 复杂 性 还 有 其 他 许多 度 
BRE: 随机 位 的 数目 、 通 信和 带宽 、 数 据 总 量 等 )。 

通常 ， 算 法 的 计算 复杂 性 用 称 为 “大 O” 的 符号 来 表示 : 计算 复杂 性 的 数量 级 。 当 nn 增 
大 时 ,计算 复杂 性 的 数量 级 函数 增长 得 最 快 。 所 有 较 低 阶 形式 的 函数 均 忽 略 不 计 。 例 如 ， 一 
个 给 定 算法 的 时 间 复 杂 性 是 4n 十 74 十 12， 那 么 其 计算 复杂 性 是 n BRI, RAH OG). 

用 以 上 方法 度量 时 间 复 杂 性 不 依赖 于 系统 。 这 样 ， 就 不 必 知 道 各 种 指令 的 精确 时 间 ， 或 
用 于 表示 不 同 变量 的 位 数 ， 甚 至 连 处 理 器 的 速度 也 不 必 知 道 。 一 台 计 算 机 或 许 比 另 一 台 快 
50% ， 而 第 三 台 或 许 有 两 倍 的 数据 宽度 ， 但 对 一 个 算法 的 复杂 性 数量 级 而 言 是 一 样 的 。 这 不 
是 欺诈 ， 在 如 此 复杂 的 算法 中 ， 与 时 间 复 杂 性 的 量 级 相 比 ， 其 他 信息 (常数 项 ) 常常 可 忽略 
不 计 。 

这 个 符号 令 你 看 到 的 是 时 间 和 空间 的 需求 怎样 被 输入 的 大 小 所 影响 。 例 如 ， 如 果 T = 
O(n) ， 那 么 输入 大 小 加 倍 ， 算 法 的 运行 时 间 也 加 倍 ; 如 果 工 = O(2") ， 那么 输入 大 小 增加 
1 位 ， 算 法 运行 时 间 增 加 一 倍 。 

通常 ， 算 法 按 其 时 间 和 空间 复杂 性 进行 分 类 。 如 果 一 个 算法 的 复杂 性 不 依赖 于 n， 即 为 
O(1) ， 那 么 它 是 常数 的 (constant)。 如 果 它 的 时 间 复 杂 性 是 O(n) ， 那么 它 是 线性 的 
(linear)。 有 些 算 法 还 可 分 为 二 次 方 的 (quadratic)、 三 次 方 的 (cubic) 等 。 所 有 这 些 算法 都 
是 多 项 式 的 〈polynomial) ， 复 杂 性 可 表示 为 O(n") ， 其 中 m 是 一 个 常数 。 具 有 多 项 式 时 间 
复杂 性 的 算法 族 称 为 多 项 式 时 间 (polynomial-time) 算法 。 

a IEW BARE OC) ， 则 该 算法 称 为 指数 的 〈exponential) ， 这 里 上 是 一 个 大 于 1 
的 常数 ，f(n) 是 n HAW mM. BAA OC”) 的 指数 算法 的 子 集 ， 称 为 超 多 项 式 
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(superpdynomial) 算法 ， 其 中 c 是 一 个 常数 , f(n) 是 大 于 常数 而 小 于 线性 的 函数 。 

理论 上 ， 密 码 设计 者 都 期 望 对 其 密码 的 任何 攻击 算法 具有 指数 级 的 时 间 复 杂 性 。 事 实 
上 ， 根据 目前 计算 复杂 性 理论 的 状况 而 言 ,“ 所 有 已 知 的 攻击 算法 均 具 有 超 多 项 式 时 间 复 杂 
性 ”。 这 就 是 说 ,对 这 些 应 用 在 实际 中 的 密码 ,我 们 所 知 的 攻击 算法 是 超 多 项 式 时 间 复 杂 性 
的 ,但 是 还 不 能 证 明永 远 不 会 发 现 非 多 项 式 时 间 攻 击 算法 。 或 许 某 一 天 ， 计算 复杂 性 〈 理 
W) 的 发 展 使 得 有 可 能 设计 这 样 的 密码 : 能 以 数学 的 确定 性 排除 多 项 式 时 间 攻 击 算法 的 
存在 。 

当 n 增 大 时 ,算法 的 时 间 复 杂 性 能 够 显示 算法 是 否 实际 可 行 方 面 的 巨大 差别 。 表 11-2 给 
出 了 当 n 等 于 10" 时 , 不同 算 法 族 的 运行 时 间 。 表 中 忽略 了 常数 ， 并 给 出 了 忽略 常数 的 原因 。 


R 11-2 不 同 算法 族 的 运行 时 间 (n—=10°) 





族 复杂 性 操作 次 数 时 间 
常数 的 OU) 1 1 微 秒 
线性 的 O(n) 106 ' 1 秒 
二 次 方 的 O(n?) 10! 11.6 天 
三 次 方 的 O(n) 1018 32 000 天 
指数 的 O(2") 10301 030 宇宙 年 龄 的 1030! 006 倍 


假定 计算 机 的 时 间 单 位 是 微 秒 ， 那 么 这 台 计 算 机 能 够 在 1 微 秒 内 完成 一 个 常数 阶 的 算 
法 ,在 1 秒 内 完成 一 个 线性 阶 的 算法 ,在 11.6 天 内 完成 一 个 二 次 方 阶 的 算法 ， 而 完成 一 个 
三 次 方 阶 的 算法 要 花 32 000 年 。 这 并 非 骇 人 的 事实 ， 但 如 果 宇 宙 在 那 之 前 还 存在 的 话 ， 从 
计算 机 上 最 终 得 到 一 个 解决 方案 将 是 可 能 的 。 而 解决 指数 阶 的 算法 是 枉 费 心机 的 ， 不 管 你 认 
为 〈 那 时 的 ) 计算 能 力 、 并 行 处 理 能 力 或 与 超 智能 的 外 星人 的 联系 是 多 么 强 。 

现在 来 看 看 对 密码 系统 的 穷 举 攻击 问题 ， 这 种 攻击 的 时 间 复 杂 性 与 可 能 的 密 钥 总 数 成 比 
例 ， 它 是 密 钥 长 度 的 指数 函数 。 如 果 n 是 密 钥 长 度 ， 那 么 穷 举 攻击 的 复杂 性 是 0O(2") 。12. 3 
节 讨 论 了 用 112 位 密 钥 替代 DES 的 56 位 密 钥 的 争论 。 穷 举 攻击 对 56 位 密 钥 的 复杂 性 是 
2°; 而 对 112 位 密 钥 ， 其 复杂 性 是 2”。 前 面 一 个 可 能 被 破译 ， 而 后 一 个 是 绝对 不 可 能 被 破 
译 的 。 

11.2.2 问题 的 复杂 性 

复杂 性 理论 同时 也 对 问题 的 内 在 复杂 性 进行 分 类 ， 这 并 不 同 于 用 于 解决 问题 的 算法 复杂 
性 (对 此 专业 性 的 介绍 见 文献 [600、211、1226]， 也 可 见于 文献 [1096、27、739]) 。 这 个 
理论 可 看 到 称 为 图 灵机 (Turing machine) 的 理论 计算 机 上 解决 最 难 的 问题 实例 所 需要 的 最 
小 时 间 和 空间 。 图 灵机 是 一 种 有 无 限 读 - 写 存储 带 的 有 限 状 态 机 。 看 来 图 灵机 是 一 个 实际 的 
计算 模型 。 

能 够 用 多 项 式 时 间 算 法 解决 的 问题 称 为 易 处 理 的 (tractable)， 因 为 它们 能 够 用 适当 的 
输入 大 小 ， 在 适当 的 时 间 开 销 内 解决 (“适当 的 ”的 精确 定义 取决 于 实际 情况 )。 不 能 在 多 项 
式 时 间 内 解决 的 问题 称 为 难处 理 的 〈intractable) ， 因 为 计算 它们 的 解法 很 快 变 得 不 行 。 难 
处 理 的 问题 有 时 也 称 为 难 解 的 〈hard) 。 能 够 用 超 多 项 式 阶 算法 求解 的 问题 在 计算 上 是 很 难 
的 ， 甚 至 ”的 值 很 小 时 也 一 样 。 

更 糟糕 的 是 ，Alan Turing 证 明了 某 些 问题 是 不 可 判定 的 。 不 管 算 法 的 时 间 复 杂 性 如 
何 ， 编 写 算 法 来 解决 它们 都 是 不 可 能 的 。 
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问题 分 成 一 些 复杂 性 类 型 ， 它 取决 于 解法 的 复杂 性 。 图 11-1 给 出 了 几 种 比较 重要 的 复杂 
性 类 型 以 及 它们 之 间 可 能 存在 的 关系 KEW 
是 ， 关 于 这 一 点 还 没有 太 多 的 资料 从 数学 上 证 
明 过 ) 。 

在 底层 ，P 类 包括 所 有 能 用 多 项 式 时 间 解 决 
的 问题 。NP 类 包括 所 有 在 非 确 定型 图 灵机 上 可 
用 多 项 式 时 间 解 决 的 问题 。 非 确定 型 图 灵机 是 标 
准 图 灵机 的 变形 ， 它 能 进行 猜测 。 此 机 器 通过 
“幸运 猜测 ”或 平行 尝试 猜测 所 有 可 能 问题 的 解 ， 
然后 在 多 项 式 时 间 内 检查 它 的 猜测 。 

NP 问题 与 密码 学 的 关系 如 下 : 许多 对 称 算 
法 和 所 有 公开 密 钥 算法 能 够 用 非 确定 性 的 多 项 
式 时 间 (算法 ) 进行 攻击 。 如 果 已 知 密 文 C， 图 11-1 复杂 性 类 
密码 分 析 者 简单 地 猜测 一 个 明文 X 和 一 个 密 钥 氏 ， 然 后 在 输入 X 和 天 的 基础 上 ， 以 多 项 式 
时 间 运 行 加 密 算法 ， 然 后 检查 结果 是 否 等 于 C。 这 在 理论 上 很 重要 ， 因 为 它 给 出 了 对 于 这 类 
密码 算法 ， 密 码 分 析 复 杂 性 的 上 限 。 当 然 ， 实际 上 它 是 密码 分 析 者 所 要 寻找 的 确定 的 多 项 式 
时 间 算 法 。 还 有 ， 这 个 结论 不 是 对 所 有 的 密码 类 型 都 适合 ， 它 尤其 不 适合 于 一 次 一 密 乱码 本 
方式 ， 因 为 对 任何 C， 当 运行 加 密 算 法 求解 时 ， 有 许多 XX、K 对 可 以 产生 C， 但 这 些 X 的 大 
多 数 都 是 毫 无 意义 的 ， 没 有 合法 的 明文 。 

NP 类 包括 了 类 ， 因 为 任何 在 确定 性 图 灵机 上 用 多 项 式 时 间 算 法 可 解决 的 问题 ， 在 非 确 
定性 图 灵机 上 用 多 项 式 时 间 (算法 ) 也 是 可 解决 的 ， 因 为 猜测 阶段 可 以 简单 地 省 略 。 

如 果 所 有 NP 问题 在 确定 性 图 灵机 上 用 多 项 式 时 间 (算法 ) 是 可 解决 的 ， 那么 P= NP。 
虽然 一 些 NP 问题 看 上 去 显然 比 另 一 些 困难 得 多 〈 如 穷 举 攻击 与 加 密 明 文 的 一 个 随机 分 组 明 
文 )， 但 PANP (或 P=NP) 还 未 被 证 明 。 然 而 在 复杂 性 理论 领域 内 进行 研究 的 每 一 个 人 
部 猜想 它们 是 不 相等 的 。 

更 奇特 的 是 ,在 NP 中 有 些 特 殊 的 问题 被 证 明 与 此 类 中 的 任何 问题 一 样 困难 。Steven 
Cook 叫 证 明了 可 满足 性 问题 (给 出 一 个 命题 的 布尔 公式 ， 有 对 变量 赋值 ， 使 公式 为 真 的 方 
法 吗 ?) 是 NP 完全 (NP-complete) 问题 。 这 意味 着 ， 如 果 可 满足 性 问题 在 多 项 式 时 间 ( 算 
法 ) 内 是 可 解决 的 ,那么 P==NP。 相 反 ， 如 果 NP 中 的 任何 问题 能 够 被 证 明 没 有 一 个 确定 的 
多 项 式 时 间 算 法 ， 此 证 明 就 将 给 出 可 满足 性 问题 也 没有 一 个 确定 的 多 项 式 时 间 算 法 。 因 此 ， 
可 满足 性 问题 在 NP 中 是 最 难 的 问题 。 

自 Cook 的 创造 性 论文 发 表 以 来 ， 大量 的 问题 被 证 明 等 价 于 可 满足 性 问题 ， 文 献 [600] 
中 列 出 了 数 百 个 表 ， 以 下 给 出 一 些 例子 。 根 据 等 价 性 ， 我 认为 这 些 问 题 也 是 NP 完全 问题 : 
它们 是 NP 问题 ， 而 且 与 NP 中 的 任何 问题 一 样 困难 。 如 果 它 们 在 确定 的 多 项 式 时 间 (算法 ) 
上 的 可 解 性 得 到 解决 ,那么 了 与 NP 问题 也 将 获得 解决 。P 是 否 等 价 于 NP 这 个 问题 是 计算 
复杂 性 理论 未 解决 的 中 心 问题 ， 没 有 人 指望 它 会 很 快 得 到 解决 。 如 果 有 人 证 明 P=NP, Jf 
么 这 本 书 的 绝 大 部 分 将 是 落后 于 时 代 的 。 如 前 所 述 ， 密 码 的 许多 类 型 用 非 确 性 型 的 多 项 式 时 
间 是 很 容易 破译 的 。 如 果 了 P=NP， 那 么 它们 用 可 行 的 、 确 定性 的 算法 就 可 破译 了 。 

在 复杂 性 等 级 中 ， 比 NP 高 的 是 PSPACE, PSPACE 中 的 问题 能 在 多 项 式 空间 中 解决 ， 
且 不 一 定 需 要 多 项 式 时 间 。PSPACE 包括 NP, 但 PSPACE 中 的 一 些 问题 被 认为 比 NP 还 要 
难 解 。 当 然 ， 这 也 未 被 证 明 。 有 一 类 称 为 PSPACE 完全 (PSPACE complete) 问题 ， 它 具有 
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这 样 的 性 质 : 如 果 它 们 中 任何 一 个 在 NP 中 ,那么 PSPACE 王 NP; 如 果 它 们 中 任何 一 个 在 P 
H, JS APSAPCE=P, 

最 后 ， 有 一 类 称 为 EXPTIME 的 问题 。 这 些 问 题 在 指数 时 间 内 可 以 解决 。 实 际 上 能 够 证 
明 ，EXPTEME 完全 (EXPTIME-complete) 问题 在 确定 的 多 项 式 时 间 内 是 不 可 解 的 。 那 就 
Eik, P 不 等 于 EXPTIME 已 经 得 到 证 明 。 


11.2.3 NP 完全 问题 


Michael Gareg 和 David Johnson 编辑 了 一 份 300 多 个 NP 完全 问题 (NP-complete prob- 
lem) 的 目录 "在 此 列 出 其 中 一 些 ， 

。 旅行 商 问题 。 一 名 旅行 商 必须 旅行 到 n 个 不 同 的 城市 ， 而 他 仅 有 一 箱 汽 油 ( 即 有 一 

个 他 能 旅行 的 最 远 距 离 )。 有 方法 使 他 仅 用 一 箱 汽油 而 旅行 到 每 个 城市 恰好 一 次 吗 ? 
(这 是 一 般 的 汉密尔顿 问题 ， 见 5. 1 节 ) 

。 三 方 匹配 问题 。 有 一 屋子 的 人 ,包括 n 个 男人 、n 个 女人 和 nn 个 牧师 GAR. TK 

教士 等 )。 正 常 的 婚礼 将 包括 一 个 男人 、 一 个 女人 和 一 个 愿 主持 仪式 的 牧师 。 有 了 这 
样 一 张 可 能 的 三 人 一 组 的 表 ， 是 否 可 能 安排 n 场 婚礼 ， 使 每 一 个 人 要 么 和 一 个 人 结 
婚 ， 要 么 主持 一 个 婚礼 ? 
三 方 满足 性 问题 。 有 nn 个 逻辑 语句 ， 每 一 个 语句 具有 三 个 表达 式 : if (x and y) 
then z; (xand w) or (not z); if ((not u and not x) or (z and (u or not x))) then 
( (not z and u) or x) 对 所 有 的 表达 式 有 一 个 为 真 的 赋值 使 所 有 语句 均 满 足 吗 ?〈 这 
是 前 面 提 到 的 满足 性 问题 的 特殊 例子 。) 


11.3 数论 


这 不 是 一 本 关于 数论 的 书 ， 因 此 我 仅仅 列 出 一 些 对 密码 学 有 用 的 思想 。 如 果 你 想得到 数 
论 方面 更 详细 些 的 知识 ， 可 查询 文献 [1430、72、1171、12、959、681、742、420]。 我 最 
喜欢 两 本 有 限 域 数学 方面 的 文献 [971、1042]。 还 可 查询 文献 [88、1157、1158、1060] 。 


11.3.1 模 运算 

你 们 在 学 校 里 都 学 过 模 运算 ， 它 称 为 “时 钟 算 术 ”。 记 得 这 些 问 题 吧 : 如 果 Mildred 说 
她 10: 00 钟 就 会 到 家 ， 而 她 迟到 了 13 小 时 ， 那 么 她 什么 时 候 回 家 ， 她 的 父亲 等 了 她 几 小 时 
We? 那 就 是 模 12 运算 。23 模 12 等 于 11: 

(10+13) mod 12=23 mod 12=11 mod 12 
男 一 种 写法 认为 23 和 11 的 模 12 运算 相等 : 
23=11 (mod 12) 

本 质 上 ， 如 果 “一 2 十 Az 对 某 些 整数 & Mir, A a=b (mod n)。 如 果 a 为 正 , b 为 0 一 
n， 那 么 你 可 将 5 看 做 a 被 n 整除 后 的 余数 。 有 时 5 叫做 a Kn 的 余数 residue), A Ht a ny 
做 与 模 n AR (congruent) (三 元 等 号 二 表示 同 余 )。 这 些 都 是 对 同一 事物 的 不 同 说 法 
而 已 。 

从 0 一 n 一 1 的 整数 组 成 的 集合 构成 了 模 ”的 完全 剩余 集 (complete set of residue)。 这 
意味 着 ， 对 于 每 一 个 整数 wa， 它 的 模 ? 的 余 项 是 从 0~n 一 1 的 某 个 数 。 

4a 模 ”的 运算 给 出 了 a 的 余数 ， 余 数 是 从 0 一 ?一 1 的 某 个 整数 ， 这 种 运算 称 为 模 变换 
(modular reduction), 。 例 如 ，5 mod 3=2, 
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这 里 模 的 定义 与 一 些 编程 语言 中 的 模 定 义 或 许 有 些 不 同 。 例 如 ，PASCAL 的 模 操 作 符 
有 时 返回 一 个 负数 。 它 返回 一 个 从 一 (2 一 1) ~n-1 的 数 。 在 C 语言 中 ,% 操 作 符 返 回 第 一 
个 表示 项 被 第 二 个 表示 项 相 除 所 得 出 的 余数 ， 如 果 其 中 任意 一 个 操作 项 是 负 的 ， 那 么 结果 就 
为 负 。 对 于 本 书 的 所 有 算法 ， 如 果 它 返回 一 个 负数 ， 你 应 该 将 n 加 到 这 个 模 运 算 操作 的 结 
果 上 。 
模 运 算 就 像 普通 运算 一 样 ， 它 是 可 交换 的 、 可 结合 的 和 可 分 配 的 。 而 且 ， 简 化 每 一 个 中 
间 结 果 的 模 n 运算 ,其 作用 与 先进 行 全 部 运算 再 简化 模 n 运算 是 一 样 的 。 
(a+6)mod n = ((a mod n) + (b mod n))mod n 
(a —b)mod n = ((a mod n) — (6 mod n)) mod n 
(a X b)mod n = ((a mod n) X (b mod 1) )mod n 
(aX (6+ c))mod n = (((a X 6)mod n) + ((a X c)mod n))mod n 
密码 学 用 了 许多 模 n 运算 ， 因 为 像 计算 离散 对 数 和 平方 根 这 样 的 问题 很 困难 ， 而 模 运 算 
可 将 所 有 中 间 结 果 和 最 后 结果 限制 在 一 个 范围 内 ， 所 以 用 它 进 行 计算 比较 容易 。 对 一 个 上 位 
的 模 数 2， 任 何 加 、 减 、 乘 的 中 间 结 果 将 不 会 超过 2k 位 长 。 因 此 可 以 用 模 运 算 进 行 指数 运 
算 而 又 不 会 产生 巨大 的 中 间 结 果 。 虽 然 计 算 某 数 的 乘 方 并 对 其 取 模 的 运算 
a” mod n 
将 导致 一 系列 的 乘法 和 除法 运算 ， 但 有 加 速 运算 的 方法 : 一 种 方法 旨 在 最 小 化 模 乘 法 运算 的 
数量 ; 另 一 种 旨 在 优化 单个 模 乘 法 运算 。 因 为 操作 步 又 划分 后 ， 当 完成 一 串 乘 法 ， 并 且 每 次 
都 进行 模 运 算 后 ， 指 数 运算 就 更 快 ， 这 样 就 与 一 般 取 寡 没 有 多 大 差别 ， 但 当 用 200 位 的 数字 
进行 运算 时 ， 情 况 就 不 同 了 。 
例如 ， 如 果 要 计算 a’ mod n， 不 要 直接 进行 七 次 乘法 和 一 个 大 数 的 模 化 简 : 
(aXaXaXaXaXaXaXa)modn 
相反 ， 应 进行 三 次 较 小 的 乘法 和 三 次 较 小 的 模 化 简 : 
(Cazmod n)?mod n)*mod n 
以 此 类 推 ， 
amod n = (((a’modn)’mod n)*mod n)*modn 
X r PE 2 的 宕 次 方 时 ， 计 算 a mod n 稍微 要 难 些 。 可 将 x 表示 成 2 WET ZAM: 
在 二 进 制 中 ，25 是 11001， 因 此 25=2 +2 +2. W: 
amod n= (a X a®**)mod n 一 (aaXasXas)mod7m = (a X ((a*)*)? X (((a’)?)*)? )mod n 
= ((((a’? X a)*)*)* X a)mod n 
适当 利用 存储 的 中 间 结 果 ， 只 需要 6 次 乘法 : 
(C (CCCa? mod n) X a)mod n)?mod n)? mod n)mod n) X a)mod n 
这 种 算法 称 为 加 法 链 (addition chaining)lsss] ， 或 二 进 制 平 方 和 乘法 方法 。 它 用 二 进 制 表示 
了 一 个 简单 明了 的 加 法 链 。 算 法 的 C 语言 描述 如 下 : 


unsigned long ge2(unsigned long x, unsigned long y, unsigned long n) { 
unsigned long s,t,u; 
int dy 


(u&l) s = (s* t)%n; 
>=1; 
= (t* t)%n; 


return (s); 
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男 一 种 递归 算法 为 : 
unsigned long fast exp(unsigned long x, unsigned long y, unsigned long N) { 
unsigned long tmp; 
if (y==1) return(x % N); 
if ((y&1)==0) { 
tmp = fast_exp(x,y/2,N) ; 
return ((tmp* tmp) SN) ; 
else { 
tmp = fast_exp(x, (y-1)/2,N); 
tmp = (tmp* tmp) $N; 
tmp = (tmp* x) %N; 
return (tmp); 
} 
} 


如 果 用 表示 数 xz 中 位 数 的 长 度 ， 这 项 技术 平均 可 减少 1. 5k 次 操作 。 虽 然 寻 找 最 短 的 
可 能 序列 很 困难 (已 经 证 明 这 样 的 序列 必须 包含 至 少 一 1 次 操作 )， 但 当 & 增 大 时 ， 获 得 低 
于 1.1k&k 次 (甚至 更 好 ) 的 操作 是 不 太 难 的 。 

Montgomery 方法 入 和 被 认为 是 用 相同 的 ”进行 多 次 模 化 简 的 有 效 方法 。 另 一 种 方法 称 
为 Barrett 算法 25 。 这 两 种 算法 的 软件 性 能 和 算法 的 前 期 讨论 见 [210]: 我 们 已 经 讨论 了 对 
单个 模 化 简 的 最 佳 选择 算法 。 对 于 小 变量 的 模 化 简 ，Barrett 算法 最 好 ; 对 于 一 般 的 指数 模 
化 简 ，Montgomery 方法 最 好 (Montgomery 方法 还 可 利用 小 指数 的 混合 算法 )。 

与 指数 模 n 运算 相对 的 是 计算 离散 对 数 (discrete logarithm)。 本 书 将 简短 地 讨论 这 种 

算 。 


IN 


11.3.2 素数 

素数 是 这 样 一 种 数 : 比 1 大 ， 其 因子 只 有 1 和 它 本 身 ， 没 有 其 他 数 可 以 整除 它 。2 是 一 
个 素数 ， 其 他 的 素数 如 73、2521、2365347734339 和 2°" 一 1 等 。 素 数 是 无 限 的 。 密 码 学 ， 
村 别 是 公开 密 钥 密码 学 常用 大 的 素数 〈512 位 ， 其 至 更 大 )。 

Evengelos Kranakis 写 了 一 本 关于 数论 、 素 数 以 及 它们 在 密码 学 上 应 用 的 优秀 书 …。 
Paulo Ribenboim 写 了 两 篇 优秀 的 一 般 性 介绍 素数 的 文章 。 


11.3.3 最 大 公 因 子 

两 个 数 互 素 (relatively prime) 是 指 : 当 它 们 除了 1 外 没有 共同 的 因子 。 换 句 话 说， 如 
果 a 和 nn 的 最 大 公 因 子 (greatest common divisor) 等 于 1， 那 么 可 写作 : 

gcd(a,n) = 1 

数 15 Al 28 是 互 素 的 ，15 和 27 不 是 ， 而 13 和 500 是 。 一 个 素数 与 它 的 倍数 以 外 的 任何 
其 他 数 都 是 互 素 的 。 

计算 两 个 数 的 最 大 公 因 子 最 容易 的 方法 是 用 欧 几 里 得 算法 (Euclid’s algorithm), MIL 
里 得 在 公元 前 300 年 所 写 的 《Elements》 中 描述 了 这 个 算法 。 这 个 算法 并 非 由 他 发 明 ， 历 史 
学 家 相信 这 个 算法 在 当时 已 有 200 年 历史 。 它 是 幸存 到 现在 最 古老 的 非凡 的 算法 ， 至 今 它 仍 
完好 的 。Knuth 在 文献 [863] 中 描述 了 这 个 算法 和 一 些 现代 的 改进 。 

算法 的 C 语言 描述 如 下 : 


并 
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/* returns gcd of x and y */ 
int ged (int. x, dnt y) 
{ . 

int g7 

IE Ce è 0) 

X = -Xj 

if (y < 0) 

Y = -y7 

if (x + y == 0) 

ERROR; 

g= Yy; 

while (x > 0) { 

g X; 

Ed y % X; 

Y gi 

} 


return g; 


nou i 


} 
这 个 算法 可 以 推广 为 返回 由 m 个 数组 成 的 gcd 数组 。 


/* returns the gcd of xl, x2...xm */ 
int multiple gcd (int m, int *x) 


size t i; 


int. g; 


if (m < 1) 
return 0; 
g = x[0]; 
for (i=1; i<m; ++i) { 
g = gcd(g, x[i]); 
/* optimization, since for random x[i], g==1 60% of the time: */ 
if (g == 1) 
return 1; 


} 


return g; 


11.3.4 TT 


记得 道 元 (inverse) 吗 ? 4 WF woe 1/4, AN 4X1/⁄4=1. FEBA KMR, K 
个 问题 更 复杂 : 
4X x = 1(mod 7) 
这 个 方程 等 价 于 寻找 一 组 x lk, AIE: 
4r = 7k 十 1 
这 里 和 上 均 为 整数 。 
更 为 一 般 的 问题 是 寻找 一 个 xz， 使 得 : 
1 = (aX x)mod n 
也 可 写作 : 
a` = x(mod n) 
解决 模 的 逆 元 问题 很 困难 。 有 时 候 有 一 个 方案 ， 有 时 候 没 有 。 例 如 ，5 模 14 的 逆 元 是 
3: 5X3=15=1 (mod 14)。2 模 14 却 没有 逆 元 。 
一 般 而 论 ， 如 果 aMn 是 互 素 的 ， 那 么 c '=z (modn) 有 唯一 解 ; 如 果 a 和 ?7 不 是 互 
素 的 ， 那 么 a ' 寺 x (modn) RAR. WR n ERM, BAK 1 一 "一 1 的 每 一 个 数 与 n 都 是 
互 素 的 ， 且 在 这 个 范围 内 恰好 有 一 个 逆 元 。 
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一 切 顺利 。 现 在 ， 怎 样 找 出 a 模 ?” 的 闭 元 呢 ? 有 一 系列 的 方法 。 欧 几 里 得 算法 也 能 计算 
atin 的 六 元 ， 有 时 候 这 叫做 扩展 欧 几 里 得 算法 (extended Euclidean algorithm). 
下 面 是 用 C 十 十 写 的 算法 : 


#define isEven (x) ((x & 0x01) == 0) 
#define isOdd(x) (x & 0x01) 
#define swap(x,y) (x ^= y, y “= x, x *= y) 


void ExtBinEuclid(int *u, int *v, int *ul, int *u2, int *u3) 


{ 


// warning: u and v will be swapped if u < v 
int k, t1, t2, t3; 


if (*u < *v) swap(*u,*v) ; 

for (k = 0; isEven(*u) && isEven(*v); ++k) { 
*u s>s 1; *v >>= 1; 

} 


*ul = 1; *u2 = Of *u3 = Ws tl = *y; £2 = *u-17 t3 = vj 


do { 
do { 
if (isEven(*u3)) { 
if (isOdd(*u1) || isOdd(*u2)) { 
xul += *v; *u2 += *u; 
} 
sul s>= 1; *u2 ss= 17 *u3 >se 1; 
} 
if (isEven(t3) || *u3 < t3) { 


swap(*ul,t1); swap(*u2,t2); swap(*u3,t3) ; 


} while (isEven(*u3) ) ; 

while (*ul < tl || *u2 < t2) { 
*ul += *y; *U2 += FU; 

} 


xul == ‘tlp *u2 == E27 *u3. == ‘t3; 
} while (t3 > 0); 

while (*ul >= *v && *u2 >= *u) { 
*ul -= *v; *u2 -= *u; 

} 


*ul <<= k; *u2 <<= k; *u3 <<= K; 


main(int argc, char **argv) { 


} 


int a, b, gcd; 


if (argc < 3) { 

cerr << "Usage: xeuclid u v" << endl; 

return -1; 

} 

int u = atoi(argv[1])j; 

int v = atoi (argv[2]); 

if (u <= 0 || v <= 0) { 

cerr << "Arguments must be positive!" << endl; 
return -2; 

} 

// warning: u and v will be swapped if u < v 
ExtBinEuclid(&u, &v, &a, &b, &gcd); 


cout << a << "* "<< u << " + (-" 

es b ce T") * n ég y ee = eg Ged << endl; 

if (ged == 1) 

cout << "the inverse of " << v << " mod " << u << " is: " 
<< u - b << endl; 

return 0; 


在 此 ， 我 不 打算 马上 证 明 它 是 正确 的 或 给 出 它 的 理论 基础 。 在 文献 C863] 或 者 前 面 提 
到 的 任 一 篇 数论 文章 中 可 找到 详细 的 介绍 。 
此 算法 通过 迭代 运算 来 实现 ， 对 于 大 的 整数 ， 其 运行 可 能 较 慢 。Knuth 指出 这 个 算法 完 
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成 的 除法 的 平均 数目 是 
0. 843 X log, (n) + 1. 47 


11.3.5 求 系数 


欧 几 里 得 算法 可 用 于 解决 下 面 的 一 类 问题 : 给 出 一 个 包含 m 个 变量 zi Ts es Lm 的 
数组 ， 求 一 个 包含 m 个 系数 ul，us。，…，u 的 数组 ， 使 得 
uy X iy EX wn = 1 


11.3.6 费 尔 马 小 定理 


如 果 m 是 一 个 素数 ， 且 a 不 是 m 的 倍数 ， 那 么 ， 根 据 费 尔 马 小 定理 (Fermatys little 
theorem) 有 : 

a” = 1(mod m) 

(Pierre de Fermat (1601—1665 年 )， 译 为 “ 费 尔 马 ”， 法 国 数学 家 。 该 定理 与 他 其 后 

的 定理 无 关 。) 


11.3.7 ” 欧 拉 9 函数 


还 有 另 一 种 方法 计算 模 ”的 逆 元 ， 但 不 是 在 任何 情况 下 都 能 使 用 。 模 ”的 余数 化 简 集 
(reduced set of residues) 是 余数 完全 集合 的 子 集 ,， 与 nn 互 素 。 例 如 ， 模 12 的 余数 化 简 集 是 
{1, 5, 7, 11}, WR n BRR, MAK n 的 余数 化 简 集 是 从 1 一 ?一 1 的 所 有 整数 集合 。 对 
nn 不 等 于 1 的 数 ， 数 0 不 是 余数 化 简 集 的 元 素 。 

Rk Hi eg AH (Euler totient fuction)， 也 称 为 欧 拉 p 函数 ， 写 作 $8(n)， 它 表示 模 n 的 余数 
化 简 集 中 元 素 的 数目 。 换 句 话 说 ，$(n) 表示 与 n 互 素 的 小 于 nn 的 正 整 数 的 数目 (n>1). 
(Leonhard Euler (1707—1783 年 )， 译 作 “ 欧 拉 ”， 瑞 士 数 学 家 。) 

WR n 是 素数 ， 那么 $(n) =n—-1; 如 果 n 二 pg， 且 p 和 9g 互 素 ,那么 $(n) =(p-1) 
(g 一 1)。 这 些 数字 在 随后 谈 到 的 公开 密 钥 密码 系统 中 将 再 次 出 现 ， 它 们 都 来 自 于 此 。 

根据 费 尔 马 小 定理 的 欧 拉 推广 ， 如 果 ged(a, n)=1, A 

a” mod n = 1 


现在 计算 a 模 n 很 容易 : 


x =a” mod n 


例如 ， 求 5 模 7 的 逆 元 是 多 少 ?” 既然 7 是 素数 ，$(7) 二 7 一 1 二 6。 因 此 ，5 模 7 的 逆 元 是 
5° mod 7 = 5° mod 7 = 3 
计算 道 元 的 两 种 方法 都 可 推广 到 在 一 般 性 的 问题 中 求解 x (如 果 gcd(a, n)=1): 
(a X x)mod n =b 
用 欧 拉 推广 公式 ， 解 : 
x = (Xa ')mod n 
用 欧 几 里 得 算法 ， 解 : 
x = (bX (a 'mod n))mod n 
通常 ， 欧 几 里 得 算法 在 计算 逆 元 方面 比 欧 拉 推广 更 快 ， 特 别 是 对 于 500 位 范围 内 的 数 。 
如 果 gcd(a，n) 关 1， 并 非 一 切 都 没 用 了 。 这 种 一 般 情况 而 言 ，(aXx)mod 2 一 5， 可 能 有 多 
个 解 或 无 解 。 


11.3.8 ”中国 剩余 定理 
如 果 已 知 n WRAL. 那么 就 能 利用 中 国 剩余 定理 (Chinese remainder theorem) 求解 
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整个 方程 组 。 这 个 定理 的 最 初 形式 是 由 1 世纪 的 中 国 数学 家 孙子 发 现 的 。 
一 般 而 言 ， 如 果 n 的 素 因 子 可 分 解 为 n 二 pi X psX…Xp,， 那 么 方程 组 
(x mod p;) =a; i= 1,2,.,t 
有 唯一 解 ， 这 里 zn (注意 ， 有 些 素数 可 能 不 止 一 次 地 出 现 。 例 如 ， 户 可 能 等 于 ps)。 换 
句 话 说， 一 个 数 〈 小 于 一 些 素数 之 积 ) 被 它 的 余数 模 这 些 素 数 唯一 确定 。 
例如 ， 取 素数 3 和 5， 取 一 个 数 14， 那么 14 mod 3=2, 14 mod 5 二 4。 则 小 于 3X5=15 
且 具 有 上 述 余 数 的 数 只 有 14， 即 由 这 两 个 余数 唯一 地 确定 了 数 14。 
如 果 对 任意 4 二 p 和 6<q (p 和 9g 都 是 素数 )， 那 么 ， 当 x 二 pXg 时 ， 存在 一 个 唯一 的 
Z， 使 得 
x =a(mod p) H x = b(mod q) 
为 求 出 这 个 二 ， 首 先 用 欧 几 里 得 算法 找到 u, 43 
u X q =  1(mod p) 
然后 计算 : 
x = (((a—b) Xu)mod p) Xq+b 
用 C 语言 所 写 的 中 国 剩余 定理 如 下 : 
/* r is the number of elements in arrays m and u; 
m is the array of (pairwise relatively prime) moduli 
u is the array of coefficients 
return value is n such than n == u[k]%m[k] (k=0..r-1) and 


n < m[0]*m[1]*...*m[r-1] 


wy 
/* totient() is left as an exercise to the reader. */ 


int chinese_remainder (size_t r, int *m, int *u) 
{ s 

sizet i; 

int modulus; 

int n; 

modulus = 1; 

for (i=0; i<r; ++i) 

modulus *= m[i]; 

T = 03 

for (i=0; i<r; ++i) { 

n += u[i] * modexp(modulus / m[i], totient(m[i]), 

m[i]); 

n %= modulus; 


} 


return n; 


} 

中 国 剩余 定理 的 一 个 推论 可 用 于 求 出 一 个 类 似 问 题 的 解 : 如 果 p Al g 都 是 素数 ， 且 p<q, 
那么 存在 一 个 唯一 的 zx 二 pXq， 使 得 

a = r(mod p) H b = x(mod q) 
如 果 ab mod p, AKA 
x = (((a— (b mod p)) Xu)mod p) Xq+b 
如 果 a 二 5 mod p, HA 
x= (((a+ p— (b mod p)) Xu mod p) Xq+b 


11.3.9 二 次 剩余 
如 果 p EKK, Ha<p, mk 
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x =almod p) 对 某 些 工 成立 
那么 称 a 是 对 模 p 的 二 次 剩余 (quadratic residue), 
不 是 所 有 的 a 的 值 都 满足 这 个 特性 。 如 果 a 是 对 模 n 的 一 个 二 次 剩余 ， 那 么 它 必定 是 对 
R n 的 所 有 素 因子 的 二 次 剩余 。 例 如 ， 如 果 p 二 7， 那么 二 次 剩余 是 1、2 和 4: 
1? = 1 = 1(mod 7) 
2° = 4 = 4(mod 7) 
3? = 9 = 2(mod 7) 
4? = 16 = 2(mod 7) 
5? = 25 = 4(mod 7) 
6? = 36 = 1(mod 7) 
注意 ， 每 一 个 二 次 剩余 在 上 面 都 出 现 了 两 次 。 
没有 工 值 可 满足 下 列 这 些 方程 的 任意 一 个 : 


xz’ = 3(mod 7) 
ax’ = 5(mod 7) 
x’ = 6(mod 7) 


对 模 7 的 二 次 非 剩 余 (quadratic nonresidue) 是 3、5 和 6。 

很 容易 证 明 ， 当 p 为 奇数 时 ， 对 模 p 的 二 次 剩余 数目 恰好 是 〈z 一 1)/2， 且 与 其 二 次 非 
剩余 的 数目 相同 。 而 且 ， 如 果 zx? 等 于 二 次 剩余 模 p， 那 么 r 恰好 有 两 个 平方 根 : 其 中 一 个 
fE 1~(p—1)/2 之 间 ; 另 一 个 在 (p4+1)/2~(p-1) 之 间 。 这 两 个 平方 根 中 的 一 个 也 是 模 
pp 的 二 次 剩余 ， 称 为 主 平方 根 (pricipal square root), 

WER n 是 两 个 素数 p Ma ZR, BAK nA DDT 个 二 次 剩余 。 模 n 的 
一 个 二 次 剩余 是 模 n 的 一 个 完全 平方 。 这 是 因为 要 成 为 模 n 的 平方 ， 其 余数 必须 有 模 p 的 平 
方 和 模 g 的 平方 。 例 如 ， 模 35 有 11 个 二 次 剩余 : 1、4、9、11、14、15、16、21、25、29、 
30。 每 一 个 二 次 剩余 恰好 有 4 个 平方 根 。 


11.3.10 勒 让 德 符号 


勒 让 德 符号 (Legendre symbol), S Lla, p), 4a 为 任意 整数 且 思 是 一 个 大 于 2 的 
素数 时 ， 它 等 于 0、1 或 一 1。 
Lia, p)=0 如 果 a 被 p 整除 
Lia, p)=1 如 果 a 是 二 次 剩余 
Lla, p) 二 一 1] 如 果 a 是 非 二 次 剩余 
一 种 计算 Lla, p) 的 方法 是 : 
L(a,p) = a”? mod p 
或 者 用 下 面 的 算法 计算 : 
(1) WR a=1, RA Lla, p)=1., 
(2) 如 果 a 是 偶数 ， WA Lla, p)=Lla/2, p)X(-1) "8, 
(3) 如 果 a 是 奇数 (上 且 a 关 1), WA Lla, p)=L(p moda, a)X(—-1)@ PXO M4, 
注意 ， 这 也 是 确定 a 是 否 是 对 模 p 的 二 次 剩余 的 有 效 方法 (虽然 仅 当 p 是 素数 时 
成 立 )。 


11.3.11 HEADERS 
HE RT LEAS (Jacobi symbol), SÆ J(a,，n)， 是 勒 让 德 符号 的 合 数 模 的 一 般 化 表示 ， 
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它 定义 在 任意 整数 a 和 奇 整数 n 上 。 这 个 函数 首先 出 现在 素数 测试 中 。 雅 可 比 符号 是 基于 ?7 
的 除数 的 余数 化 简 集 上 的 函数 ， 可 按 多 种 方法 进行 计算 %"， 下 面 列 举 一 种 方法 : 

定义 1: Jla, n) 只 定义 在 nn 为 奇数 的 情况 下 。 

定义 2: JO, n) =0, 

定义 3: WR n BRM, An 能 整除 以 a,， 那么 J(a, n) 三 0。 

定义 4: WR n ERKA, Hatin 的 一 个 二 次 剩余 ， 那 么 J(a, n) 三 1。 

定义 5: 如 果 n ERKA, Hatin 的 一 个 非 二 次 剩余 ， 那么 J(a, n) 三 一 1。 

定义 6: WR n ERA, WA Ja, 0) 二 J(a, p) Ke XI Cas Pm)» HP piers Pm ken 
的 素 因 子 。 

计算 雅 可 比 符号 的 递归 算法 如 下 : 

规则 1: JU, n) =1, 

规则 2: J(aXb, n)=Jla, n)XJ(b, n). 

规则 3: WR (x 一 1)/8 是 偶数 ， 则 J(2，n) =1; 否则 ， 为 一 1。 

规则 4: J(a, n)=J((a mod n), n). 

规则 5: Jla, bi Xb)=J(a, b1)XJ(a, hy). 

规则 6: WR a 和 4 都 是 奇数 ， 且 它们 的 最 大 公 因 子 是 1， 那么 

规则 6a: WR (a 一 1) (6 一 1)/4 是 偶数 ， 那么 Ia, 56) 二 J(bp，a)。 

规则 6b: MA (a 一 1)(b 一 1)/4 是 奇数 ， 那 么 J(a, =—Jb, a). 
算法 的 C 语言 描述 如 下 : 


/* This algorithm computes the Jacobi symbol recursively */ 
int jacobi(int a, int b) 


int g 
assert (odd(b)); 
if (a >= b) a %= b; /* by Rule 4 */ 
if (a == 0) return 0; /* by Definition 2 */ 
if (a == 1) return 1; /* by Rule 1 */ 


af (a = 0) 
if (((b-1)/2 % 2 == 0) 
return jacobi(-a,b) ; 
else 
return -jacobi (-a,b); 
if (a % 2 == 0) /* a is even */ 
if (((b*b - 1)/8) % 2 == 0) 
return +jacobi(a/2, b) 


else 
return -jacobi(a/2, b) /* by Rule 3 and Rule 2 */ 
g = gcd(a,b); 
assert (odd(a)); /* this is guaranteed by the (a % 2 == 0) 
test */ 


if (g == a) /* a exactly divides b */ 
return 0; /* by Rules 5 and 4, and Definition 2 */ 


else if (g != 1) 

return jacobi(g,b) * jacobi(a/g, b); /* by Rule 2 */ 
else if (((a-1)*(b-1)/4) % 2 == 0) 

return +jacobi(b,a) ; /* by Rule 6a */ 

else 

return -jacobi(b,a); /* by Rule 6b */ 


} 


MRE A n 是 素数 ， 则 不 需要 运行 以 上 算法 ,而 只 需 简 单 地 计算 a” mod n。 这 种 
情况 下 ， 雅 可 比 符号 Ja, n) 等 同 于 勒 让 德 符号 。 
雅 可 比 符号 不 能 用 来 确定 一 个 数 a 是 否 是 对 模 n 的 二 次 剩余 (当然 ， 除 非 n 是 素数 )。 
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HER, WRJ, N=1, Hn 是 合 数 ， 那 么 a 是 对 模 n 的 二 次 剩余 这 一 点 不 一 定 为 真 。 
例如 : 

J(7,143) = 7(7,11) KI,13) = CDC) = 1 
然而 ， 没 有 一 个 整数 使 得 x’ =7 mod 143, 


11.3.12 Blum 整数 


WR p 和 g 是 两 个 素数 ， 且 都 是 与 3 模 4 同 余 的 ， BA n=pXq 叫做 Blum #3 (Blum 
integar)。 如 果 n 是 一 个 Blum 整数 ， 那 么 它 的 每 一 个 二 次 剩余 恰好 有 4 个 平方 根 ， 其 中 一 
个 也 是 平方 ， 这 就 是 主 平方 根 。 例 如 ，139 模 437 的 主 平方 根 是 24。 其 他 三 个 平方 根 是 
185, 252 和 413。 


11.3.13 ”生成 元 


WR pp 是 一 个 素数 ， 且 g 小 于 p， 对 于 从 0~~p 一 1 的 每 一 个 656， 都 存在 某 个 a, 使 得 
gg 三 b(mod p), WWA g ÆR p 的 生成 元 (generator), ERX g Æ p 的 本 原 元 (primitive), 
例如 ， 如 果 p=1l, 2 是 模 11 的 一 个 生成 元 : 
2'°= 1024 = 1(mod 11) 
2'= 2 = 2(mod 11) 
2° = 256 = 3(mod 11) 
2?= 4 = 4(mod 11) 
2*= 16 = 5(mod 11) 
2° = 512 = 6(mod 11) 
2’= 128 = 7(mod 11) 
2° = 8 = 8(mod 11) 
2°= 64 = 9(mod 11) 
2° = 32 = 10(mod 11) 
从 1~10 的 每 一 个 数 都 可 由 2 (mod p) 表示 出 来 。 
对 于 p= 二 11， 生 成 元 是 2、6、7 和 8。 其 他 数 不 是 生成 元 。 例 如 ，3 不 是 生成 元 ， 因 为 
下 列 方程 无 解 。 
3° = 2(mod 11) 
通常 ， 找 出 生成 元 不 是 一 个 容易 的 问题 。 然 而 ， 如 果 你 知道 p 一 1 的 因子 怎样 分 解 ， 它 
就 变 得 很 容易 。 令 oa ，q …，q, 是 bp 一 1 的 素 因 子 ， 为 了 测试 一 个 数 g 是 否 是 模 p 的 生成 
JC» 对 所 有 的 Tqis q2» *°s Qh 计算 : 
SECmod p) 
如 果 对 ga 的 某 个 值 ， 其 结果 为 1， 那么 g 不 是 生成 元 ; 如果 对 g 的 任何 值 ， 结 果 不 等 于 
1， 那 么 g 是 生成 元 。 
例如 ， 令 p=11. p—1=10 的 素 因 子 是 2 和 5。 测 试 2 是 否 是 生成 元 : 
20-P/5 (mod 11) = 4 
Zao (mod 11) = 10 
没有 一 个 结果 是 1， 因 此 2 是 生成 元 。 
测试 3 是 否 是 生成 元 : 
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30°P4 (mod 11) = 9 
30°) (mod 11) = 1 
因此 ，3 不 是 生成 元 。 
如 果 你 要 找 模 加 的 一 个 生成 元 ， 那 么 你 只 需 随 机 地 选择 一 个 1~p—-1 的 数 ， 测 试 它 是 
否 是 生成 元 。 只 要 有 足够 多 的 选择 ， 你 就 可 能 很 快 地 找到 模 p 的 一 个 生成 元 。 


11.3.14 伽 罗 瓦 域 中 的 计算 


不 用 事先 说 明 ， 我 们 就 正在 这 样 做 了 。 如 果 n 是 一 个 素数 或 一 个 大 素数 的 军 ， 那 么 就 存 
在 数学 家 称 之 为 有 限 域 (finite field) 的 东西 。 因 此 ， 我 们 将 它 称 为 p 而 不 是 nx。 事实 上 ， 
这 种 类 型 的 有 限 域 是 如 此 令 人 激动 ， 以 至 于 数学 家 给 它 取 了 一 个 专 有 的 名 字 : MPR 
(Galosi field), H GF(p) 表示 。 (Evariste Galois 是 生活 在 19 世纪 早期 的 法 国 数学 家 ， 在 
他 20 岁 死 于 一 次 决斗 之 前 ， 他 在 数论 方面 做 了 许多 工作 。) 

在 伽 罗 瓦 域 上 ， 非 零 元 的 加 、 减 、 乘 、 除 均 有 定义 。 有 一 个 加 法 单位 元 0 和 一 个 乘法 单 
位 元 1。 每 一 个 非 零 数 都 有 唯一 的 逆 元 (如 果 p 不 是 素数 ， 这 一 点 不 成 立 )。 交 换 律 、 结 合 
律 、 分 配 律 在 其 上 均 成 立 。 

伽 罗 瓦 域 上 的 运算 大 量 地 用 于 密码 方面 。 整 个 数论 运算 都 可 在 其 中 进行 : 它 给 数 一 个 限 
制 范围 ， 除 法 将 不 会 有 任何 舍 入 错误 。 许 多 密码 系统 都 基于 GF(p)， 这 里 p 是 一 个 大 的 
素数 。 

为 了 使 算法 更 复杂 ， 密 码 设计 者 也 使 用 模 n 次 不 可 约 (irreducible)〉 多 项 式 的 算术 运算 ， 
它 的 系数 是 模 q 的 整数 ，g 是 素数 。 这 些 域 称 为 GF(q")。 所 有 的 运算 都 模 p(x)， pa) fen 
次 不 可 约 多 项 式 。 

后 面 的 这 些 数学 理论 大 大 超出 了 本 书 的 范围 ， 尽 管 我 将 谈 到 一 些 应 用 了 这 些 理论 的 密码 
系统 。 如 果 你 想 在 这 方面 做 更 多 的 工作 ,那么 GF(2 ) 有 以 下 元 素 : 0, 1, x, x 二 1, 2’, 
与 十 1， 关 十 z， 天 十 二 1。 有 一 个 适合 并 行 处 理 的 计算 GF (2") 中 逆 元 的 算法 ， 见 文献 
[421]. 

当 我 们 谈 到 多 项 式 时 ,“ 素 数 ” 这 个 术语 常用 “不 可 约 ” 这 个 术语 来 代替 。 一 个 多 项 式 
是 不 可 约 的 ， 如 果 它 不 能 表示 成 其 他 两 个 多 项 式 的 积 (当然 ,， 除了 1 和 它 本 身 外 )。 多 项 式 
VHL ERA 〈 域 ) 上 是 不 可 约 的 。 多 项 式 rtr tr 不 是 ， 因 为 它 可 表示 为 x(x 十 
1)(r+1), 

给 定 域 中 生成 元 的 多 项 式 叫 做 本 原 多 项 式 ， 它 的 所 有 系数 是 互 素 的 。 当 我 们 讨论 线性 反 
馈 移 位 寄存 器 时 (参见 16. 2 节 )， 我 们 将 再 次 谈 到 本 原 多 项 式 。 

GF(2") 中 的 计算 能 用 线性 反馈 移 位 寄存 器 以 硬件 快速 实现 。 由 于 这 些 因素 ，GF(2"”) 
上 的 运算 通常 比 GF(p) 上 的 运算 快 ， 且 计算 GF(2") 上 的 寡 要 有 效 得 多 ， 这 也 用 于 计算 离 
FART BEET) HR RA Tf AT A AR, BNL CHK [140]. 

EMP R GF) 上 ， 密 码 设计 者 喜欢 用 三 项 式 p) sr trti 作为 模 ， 因 为 x” 
和 x 的 系数 之 间 ， 长 长 的 零 序 列 使 快速 的 模 乘 法 较 易 实现 "1] 。 这 个 三 项 式 必须 是 本 原 的 ， 
否则 数学 上 不 能 成 立 。 对 那些 本 原 的 x" 十 zx 十 1 来 说 ， 小 于 1000 W n E, 

ly 3, 4, 6, 9» 15, 22, 28, 30, 46, 60, 63s 127» 153, 172. 303, 471, 582, 
865, 900 

当 p(x) =x” +r+1 时， 存在 一 个 GF(2") 的 硬件 实现 06311632.12] 。 一 篇 讨论 在 
GF(2") 中 实现 寡 运 算 应 采用 的 有 效 硬 件 结构 的 文章 见 文献 [147]. 
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11.4 因子 分 解 


对 一 个 数 进行 因子 分 解 就 是 找 出 它 的 素 因 子 : 
10=2X5 
60=2X2X3X5 
252601=41X61X101 
2113 — 1 = 3391 X 23279 X 65993 X 1868569 X 1066818132868207 
在 数论 中 ， 因 子 分 解 问题 是 一 个 最 古老 的 问题 。 分 解 一 个 数 很 简单 ， 但 是 其 过 程 较 费 
时 。 尽 管 如 此 ， 在 这 方面 还 是 有 一 些 进展 。 
目前 ， 最 好 的 因子 分 解 算法 是 : 
。 数 域 筛选 法 (Number Field Sieve, NFS)?! (也 可 参阅 文献 [952、16、279]) 。 对 
大 于 110 位 左右 数字 长 的 数 " ?55 来 说 ， 一 般 的 数 域 筛 选 是 目前 已 知 的 最 快 的 因子 
分 解 算法 。 当 它 最 初 提出 来 时 ， 它 是 不 实用 的 ， 但 随 着 过 去 几 年 的 一 系列 改进 "5 ， 
这 一 点 已 经 改变 。NFS 目前 作为 一 种 新 的 算法 ， 还 未 突破 任何 因子 分 解 的 记录 ， 不 
过 这 种 情况 很 快 就 会 改变 。 早 期 的 NFS 算法 曾 用 于 对 第 九 个 费 尔 马 数 2 十 1 进行 
因子 分 解 6855.954 
其 他 一 些 算法 已 被 NFS 算法 取代 : 
。 二 次 筛选 法 (Quadratic Sieve, QS) 23734599。 对 于 低 于 110 位 的 十 进 制 数 来 说 ， 
这 是 目前 已 知 的 最 快 的 算法 ， 且 已 得 到 广泛 的 应 用 。 这 个 算法 一 个 较 快 的 版 本 
叫做 多 重 多 项 式 二 次 筛选 法 5 ?1 。 这 个 算法 最 快 的 版 本 叫做 多 重 多 项 式 二 次 筛选 
的 双重 大 素数 变量 。 
。 椭圆 曲线 法 (Elliptic Curve Method, ECM) 0120 。 这 个 方法 曾 用 于 寻找 43 位 
数字 的 因子 ， 对 于 更 大 数 是 没 用 的 。 
。 Pollard 的 蒙特 卡 罗 算 法 (Pollard’s Monte Carlo algorithm)0254248] 。 这 个 算法 也 发 
KE Knuth 的 第 2 4 370 页 上 tj， 
© 连 分 式 算法 (continued fraction algorithm). W XÈ [1123、1252、863]， 这 个 算 
法 甚至 是 不 能 运行 的 。 
。 试 除法 (trial division) 。 这 是 最 古老 的 因子 分 解法 ， 涉 及 测试 小 于 或 等 于 所 选 数 平 
方 根 的 每 一 个 素数 。 
对 这 些 不 同 因 子 分解 算 法 CR NFS 外 ) 较 好 的 介绍 见 文 献 L251]. X NFS 的 最 好 人 
绍 见 文献 [953]。 另 外 ， 较 老 的 参考 文献 是 [505、1602、1258]。 有 关 并 行 因子 分 解 的 
内 容 见 文献 L250]. 
WR n 是 要 被 分 解 的 数 ， 那 么 最 快 的 QS 的 各 种 版 本 所 需要 的 渐 近 运行 时 间 是 : 
e t00 Una 07? nanay 
NFS 法 要 快 得 多 ， 其 渐 近 的 时 间 估 计 值 是 : 
efl 9284-0) (Anny 0/9 (n(n(n))) 2” 
1970 年 ， 最 大 的 新 闻 是 一 个 难 分 解 的 41 BER RO) 〈 难 分 解数 是 指 这 样 一 种 
数 ， 它 没有 任何 因子 ， 且 不 具备 某 种 特殊 的 容易 被 分 解 的 形式 )。10 年 后 ， 分 解 一 个 两 倍 于 : 
前 述 的 难 分 解数 ，Cray 计算 机 只 用 了 几 个 小 时 中。 
1988 年 ，Carl Pomerance 用 定制 的 VLSI 片 ”3 设计 了 一 台 因 子 分 解 机 器 。 能 分 解 的 数 
字 的 大 小 取决 于 你 能 够 建立 多 大 的 一 台 机 器 。 他 本 人 也 从 未 实现 它 。 
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1993 年 ， 用 QS 已 能 分 解 120 位 数字 的 难 分 解数 。 该 运算 用 了 825 mips-year， 实 际 完成 
的 时 间 为 3 个 月 “， 其 他 结果 见 [504]。 

当今 的 因子 分 解 算法 正 尝 试 使 用 计算 机 网 络 实现 S*”*” 相 。 在 对 一 个 116 位 数 进行 因子 分 
解 时 ，Arjen Lenstra 和 Mark Manasse 用 了 400 mips-year 一 一 相当 于 占用 一 组 遍及 世界 的 计 
算 机 数 月 的 空余 时 间 。 

1994 年 3 月 ,由 Lenstra 领导 的 一 组 数学 家 用 多 重 多 项 式 二 次 筛选 的 双重 大 素数 算 
1 ， 分 解 了 一 个 129 个 数字 (428 位 ) 的 数 。 因 特 网 上 的 600 名 志愿 者 和 1600 台 机 器 完 
成 了 该 运算 ， 整 个 过 程 花费 了 8 个 月 时 间 ， 相 当 于 4000~6000 mips-year， 这 可 能 是 最 大 的 专 
用 多 处 理 器 。 这 些 计算 机 之 间 通 过 电子 邮件 互相 通信 ， 将 各 自 的 运行 结果 发 送 给 中 心智 囊 团 ， 
由 中 心智 宫 团 进行 最 后 的 分 析 。 这 个 算法 使 用 了 QS 和 五 年 前 的 旧 理 论 ， 如 果 使 用 NFS 算法 分 
解 仅 需 花费 1/10 FET. SCHR [66] 中 写 道 :“ 我 们 得 出 推断 ， 对 任何 能 花费 几 百 万 美元 、 
几 个 月 的 准备 时 间 的 组 织 ， 一 般 使 用 512 位 RSA 模 数 是 易 受 攻击 的 。” 他 们 认为 使 用 该 技术 来 
分 解 512 位 的 数 将 困难 100 倍 ， 使 用 NFS 或 当前 的 技术 则 只 增加 了 10 FRA MERE 。 

为 了 跟 上 因子 分 解 的 现状 ，RSA 数据 安全 公司 在 1991 年 3 月 设立 了 RSA 因子 分 解难 
题 W] 。 该 难题 包含 一 系列 较 难 分 解 的 数 ， 每 个 数 均 为 大 小 大 致 相等 的 两 个 素数 之 积 。 每 个 
被 挑选 的 素数 都 是 2 模 3 的 同 余 。 该 难题 中 有 42 个 数 ， 数 据 位 数 从 100 一 500， 按 步 径 为 10 
位 递增 (加 一 个 额外 数 ，129 位 长 )。 到 目前 为 止 ，RSA-100、RSA-110、RSA-120 和 RSA- 
129 都 已 用 QS 方法 分 解 。 下 一 个 将 被 分 解 的 数 可 能 是 RSA-130 (用 NFS 方法 ) ， 或 直接 跳 
路 到 RSA-140, 

因子 分 解 是 一 个 迅速 发 展 的 领域 。 推 断 因子 分 解 技 术 的 发 展 是 很 困难 的 ， 因 为 没有 人 能 
够 预见 数学 理论 的 进展 。 在 发 现 NFS 之 前 ， 许 多 人 猜测 QS 接近 于 任何 因子 分 解 方法 所 能 
做 到 的 最 快 《〈 极 限 )， 但 他 们 错 了 。 

在 NFS 中 ， 近 期 的 进展 将 复杂 性 降低 一 个 常数 ，1. 923。 有 些 数 具有 特殊 的 格式 ， 如 费 
尔 马 数 ， 有 一 个 1.5 左右 的 常数 。 当 今 ， 如 果 在 公开 密 钥 密码 学 中 ， 难 分 解 的 数 含 有 
那 种 类 型 的 常数 ，1024 位 的 数 也 能 分 解 。 一 种 降低 常数 项 的 方法 是 找到 更 好 的 方法 将 数 表 
示 成 小 系数 的 多 项 式 。 这 个 问题 还 未 广泛 深入 研究 ， 但 可 能 很 快 就 能 取得 进展 2] 。 

如 果 想 了 解 RSA 因子 分 解难 题 的 最 新 研究 成 果 ， 请 发 e-mail 到 challenge-info@rsa. com, 


模 n 的 平方 根 


如 果 是 两 个 素数 的 乘积 ， 那 么 计算 模 n 的 平方 根 在 计算 上 等 价 于 对 n 进行 因子 分 
ARE) 。 换 名 话说， 如果 知 道 的 素 因子 ， 那 么 就 能 容易 计算 出 一 个 数 模 n 的 平方 
根 ， 但 这 个 计算 已 被 证 明 与 计算 ”的 素 因 子 一 样 困难 。 


11.5 素数 的 产生 

公开 密 钥 算法 需要 素数 ， 任 何 合理 规模 的 网 络 也 需要 许多 这 样 的 素数 。 在 讨论 素数 生成 
的 数学 理论 之 前 ， 先 解决 以 下 显而易见 的 问题 : 

(1) 如 果 每 个 人 都 需要 不 同 的 素数 ， 难 道 素数 不 会 被 用 光 吗 ? 当然 不 会 。 事 实 上 ， 在 长 
度 为 512 位 或 略 短 一 些 的 数 中 ， 有 超过 10™ 个 素数 。 对 大 小 为 n 的 数 ， 一 个 随机 数 是 素数 
的 概率 接近 于 (1/ln n)， 那 么 小 于 nn 的 素数 的 总 数 为 x/(ln n). FEPNA 10 "个 原子 ， 如 
果 宇 宙 中 的 每 一 个 原子 从 宇宙 诞生 到 现在 为 止 ， 每 1 微 秒 都 需要 10 亿 个 新 的 素数 ， 那 么 总 
共 需 要 10 ”个 素数 ， 现 在 仍 将 剩 下 接近 10 ”个 512 位 的 素数 。 
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(2) 是 否 会 有 两 个 人 偶然 地 选择 了 相同 素数 的 情况 呢 ? 这 种 情况 不 会 发 生 。 从 超过 
105 个 素数 中 选择 相同 的 素数 ， 发 生 这 种 情况 的 可 能 性 比 在 你 获得 抽奖 时 你 的 计算 机 恰好 自 
然 烧 坏 的 可 能 性 还 要 小 。 

(3) 如 果 有 人 建立 了 所 有 素数 的 数据 库 ， 难 道 他 不 能 用 这 个 数据 库 来 破译 公开 密 钥 算 
法 ? 是 的 ， 他 可 以 ,但 他 不 会 这 样 做 。 如 果 你 能 将 10 亿 字 节 的 信息 存储 在 1 克 重 的 设备 上 ， 
那么 所 有 512 位 的 素数 的 重量 将 超过 Chandrasekhar 限 ， 导 致 系统 崩 演 ， 进 入 黑洞 ……… 那样 
的 话 ， 你 将 无 论 如 何 也 不 能 重新 找 回 你 的 数据 。 

如 果 进 行 因子 分 解 很 内 难 ， 那 么 怎样 才能 使 素数 的 生成 容易 些 呢 ? 这 是 一 个 Yes/No 的 
问题 ， 问 题 “n 是 素数 吗 ?” 比 复杂 点 的 问题 “7 的 因子 是 什么 ?” 更 容易 回答 。 

如 果 你 产生 随机 候选 数 ， 然 后 试 着 分 解 它们 ， 从 而 找 出 素数 ， 这 种 方法 是 错误 的 。 正 确 
的 方法 是 对 产生 的 随机 数 先 测试 是 否 是 素数 。 有 许多 测试 能 够 确定 是 否 是 素数 。 可 用 可 信 度 
来 测试 一 个 数 是 否 是 素数 。 假 设 该 “可 信和 度 ” 有 足够 大 ， 那 么 这 类 测试 就 很 可 靠 。 我 听 说 通 
过 该 方法 找到 的 素数 称 为 “工业 级 素数 ”: 这 些 数 只 有 可 控制 的 小 概率 不 是 素数 。 

假定 测试 的 失败 概率 设置 为 1/2"， 这 意味 着 有 1/10" 的 概率 可 能 将 合 数 错误 地 判定 为 
素数 〈 该 测试 永远 不 会 将 素数 错 判 为 合 数 ) 。 如 果 为 了 某 些 原因 ， 你 需要 更 多 的 可 信和 度 来 确 
认 一 个 数 是 素数 ， 那 么 你 可 以 将 错 判 的 概率 设 定 得 更 低 。 另 一 方面 ， 如 果 你 考虑 到 一 个 数 是 
合 数 的 可 能 性 比 你 在 全 国 抽奖 中 赢得 头 奖 的 可 能 性 小 300 百 万 次 ， 那 么 你 也 许 就 不 必 为 此 担 
忧 太 多 。 

这 个 领域 最 新 的 进展 可 参见 文献 [1256、206]j， 其 他 一 些 重要 论文 见 文献 [1490、384、 
11, 19, 626, 651, 911], 


11.5.1  Solovag-Strassen 


Robert Solovag 和 Volker Strassen FÈ T — Fh HES AY FE AS GREE EO! 。 这 个 算法 使 用 
了 雅 可 比 函数 来 测试 p 是 否 为 素数 : 

D 选择 一 个 小 于 p 的 随机 数 a。 

(2) WR gcd(a, Al, MA p 不 能 通过 测试 ， 它 是 合 数 。 

(3) 计算 j=a?” mod p, 

(4) 计算 雅 可 比 符号 J (a，p)。 

(5) MR IAS Ca, p), MA p 肯定 不 是 素数 。 

(6) WR j= a, p), MA p 不 是 素数 的 可 能 性 至 多 是 50%。 

数 a 称 为 一 个 证 据 (wimess), WR a 不 能 确定 p，p 肯定 不 是 素数 。 如 果 p 是 合 数 ， 
随机 数 a 是 证 据 的 概率 不 小 于 50%。 对 a 选择 t 个 不 同 的 随机 值 ， 重 复 1 次 这 种 测试 。p 通 
过 所 有 : 次 测试 后 ， 它 是 合 数 的 可 能 性 不 超过 1/2'。 


VY 


wv w 


11.5.2 Lehmann 


另 一 种 更 简单 的 测试 是 由 Lehmann $ ADR O. F Ee MRA A : 
(1) 选择 一 个 小 于 p 的 随机 数 a。 

(2) 计算 at mod P. 

(3) 如 果 a? YP? Al 或 一 1(mod p), HA p 肯定 不 是 素数 。 

(4) 如 果 ua = 三 1 或 一 1(Cmod p), WA p 不 是 素数 的 可 能 性 至 多 是 50%。 
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同样 ， 如 果 p 是 合 数 ， 随 机 数 a 是 p 的 证 据 的 概率 不 小 于 50%。 对 a 选择 t 个 不 同 的 随 
机 数 ， 重 复 t 次 这 种 测试 。 如 果 计 算 结 果 等 于 1 或 一 1， 但 并 不 恒 等 于 1， 那 么 p 可 能 是 素数 
所 冒 的 错误 风险 不 超过 1/2" 


11.5.3 Rabin-Miller 


这 是 一 个 很 容易 且 广 泛 使 用 的 简单 算法 ， 它 基于 Gary Miller 的 部 分 想法 ， 由 Michael 
Rabin FRE, FEE, KEE NIST (美国 国家 标准 和 技术 研究 所 ) 的 DSS 建议 中 推 
荐 算法 的 一 个 简化 版 2 S 。 

首先 选择 一 个 待 测 的 随机 数 p， 计算 5, 5b 是 2 整除 bp 一 1 的 次 数 〈( 即 ，2* 是 能 整除 p 一 1 
的 2 的 最 大 寡 数 ) 。 然 后 计算 m, E44 n=142'm, 

(1) 选择 一 个 小 于 p 随机 数 a。 

(2) i j=0 H z=a” mod p. 

(3) WR z5=1 R z=p—1, WA p 通过 测试 ，p 可 能 是 素数 。 

(4) MR j> H z=1, WA p 不 是 素数 。 

(5) 设 7=7) 十 1。 如 果 7J<6 且 zAp—l1, w z= mod p， 然 后 回 到 第 (4) 步 。 如 果 
z=p—1, HA p 通过 测试 ，p 可 能 是 素数 。 

(6) 如 果 j=b 且 z 关 p 一 1， 那 么 p 不 是 素数 。 

这 个 测试 较 前 一 个 速度 更 快 。 数 a 被 当成 证 据 的 概率 为 3/4。 这 意味 着 当 迭 代 次 数 为 
时 ， 它 产生 一 个 假 素数 所 花费 的 时 间 不 超过 1/4 。 实 际 上 ， 其 结果 是 非常 令 人 悲观 的 。 对 于 
大 多 数 的 随机 数 ， 几 乎 99. 9% 肯 定 a EWR, 

更 好 的 估计 见 文 献 [417]。 对 nn 位 (n> 100) 待 测 的 素数 ， 一 次 测试 错误 可 能 性 小 于 
1/4n20" | HN n A 256 位 的 数 ， 则 六 次 测试 的 错误 可 能 性 小 于 1/25 。 更 多 的 理论 
参见 文献 [418]. 


11.5.4 实际 考虑 


在 实际 执行 算法 时 ， 产 生 素数 是 很 快 的 。 

da) 产生 一 个 n 位 的 随机 数 p。 

(2) 设 高 位 位 和 低位 位 为 1 〈 设 高 位 位 为 1 是 为 了 确保 该 素数 达到 要 求 的 长 度 ， 设 低位 
位 为 1 是 为 了 确保 该 素数 是 奇数 ) 。 

(3) 检查 以 确保 p 不 能 被 任何 小 素数 整除 : 如 3，5，7，11 等 。 许 多 算法 测试 p 对 小 
于 256 的 所 有 素数 的 整除 性 。 最 有 效 的 测试 整除 性 的 方法 是 整除 所 有 小 于 2000 MRO, 
使 用 字 轮 方法 (wheel) ， 可 以 做 得 更 快 [&63] 。 

(4) 对 某 个 随机 数 a 运行 Rabin-Miller Mik, WAR p 通过 测试 ， 则 另外 产生 一 个 随机 数 
a， 再 重新 进行 测试 。 选 取 较 小 的 a 值 ， 以 保证 较 快 的 计算 速度 。 进 行 5 次 Rabin-Miller W 
RO (一 次 看 起 来 已 足够 ,但 我 们 还 是 做 5 K.) 如果 p 在 其 中 的 一 次 测试 中 失败 ， 重 新 
产生 一 个 p， 再 进行 测试 。 

另 一 种 做 法 是 : 不 是 每 次 都 产生 一 个 随机 数 p， 而 是 按 递增 的 方式 搜索 以 某 随 机 数 为 起 
点 的 所 有 数 ， 直 到 找到 一 个 素数 。 

第 (3) 步 是 可 选择 的 ， 但 并 不 是 一 个 好 方法 。 测 试 一 个 随机 奇数 p， 确 保 它 不 能 被 3、 
5 和 7 整除 ， 就 可 以 在 进行 第 (4) 步 前 排除 54% 的 奇数 。 对 测试 小 于 100 的 所 有 素数 的 算 
法 排除 了 76% 的 奇数 ， 对 测试 小 于 256 的 所 有 素数 的 算法 排除 了 80% 的 奇数 。 通 常 ， 测 试 
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AY n BK, FEVEFT Rabin-Miller 测试 前 所 要 进行 的 预先 计算 就 越 多 。 

在 Sparc 开 上 实现 上 面 描述 的 方法 ， 可 以 在 平均 2. 8 秒 的 时 间 内 找到 256 位 的 素数 ， 在 
平均 24. 0 秒 的 时 间 内 找到 512 位 的 素数 ， 在 平均 2 分 钟 的 时 间 内 找到 768 位 的 素数 ， 在 平 
均 5. 1 分 钟 的 时 间 内 找到 1024 位 的 素数 。 


11.5.5 强 素数 


如 果 n 是 两 个 素数 p 和 g 之 积 ， 那么 p 和 9g 采用 强 素数 (strong prime) 将 更 可 取 。 强 
素数 是 满足 某 些 特性 的 素数 ， 使 得 用 某 些 特 殊 的 因子 分 解 方式 对 它们 的 乘积 n 进行 分 解 很 困 
难 。[1328、651] 中 给 出 了 以 下 特性 : 

。 p—1 和 9g 一 1 的 最 大 公 因子 应 该 较 小 。 

。 bp 一 1 和 g 一 1 都 应 有 大 的 素 因 子 ， 分 别 记 为 请 和 9 。 

。 p' 一 1 和 g' 一 1 都 应 有 大 的 素 因 子 。 

。 p 十 1 和 g 十 1 都 应 有 大 的 素 因 子 。 

。(p 一 1)/2 和 “(gq 一 1)/2 都 应 该 是 素数 。 (注意 ， 如 果 这 一 条 件 满足 ， 那 么 前 两 个 

条 件 也 满足 。) 

强 素 数 是 否 必要 是 一 个 争论 的 话题 。 设 计 这 些 性 质 是 为 了 对 抗 一 些 古 老 的 因子 分 解 算 
法 。 然 而 ， 最 快 的 因子 分 解 算法 对 满足 这 些 准 则 的 数 进行 因子 分 解 的 概率 与 对 不 满足 这 些 准 
则 的 数 进行 因子 分 解 的 概率 几乎 是 一 样 的 [5 。 

我 特别 推荐 使 用 强 素 数 。 一 个 素数 的 长 度 比 它 的 结构 更 重要 。 并 且 ， 缺 少 随机 性 的 结构 
可 被 破坏 。 

这 一 点 或 许 会 改变 ， 或 许 会 发 现 新 的 因子 分 解 算法 ， 它 对 某 些 具有 确定 性 质 的 数 比 对 不 
具有 这 些 特性 的 数 能 更 好 地 进行 攻击 。 如 果 这 样 ， 强 素数 或 许 会 再 次 被 强调 。 查 看 某 些 理论 
数学 刊物 ， 以 得 到 最 近 的 分 解 消息 。 


1.6 有限 域 上 的 离散 对 数 
模 指 数 运 算是 频繁 地 用 于 密码 学 中 的 男 一 种 单 向 函数 。 计 算 下 面 的 表达 式 很 容易 : 


a* modn 
模 指数 运算 的 逆 问 题 是 找 出 一 个 数 的 离散 对 数 ， 这 是 一 个 难题 ; 
Kr, WË a = blmod n) 
例如 : 
wR 3*=15mod17, AAx=6 

不 是 所 有 的 离散 对 数 都 有 解 〈 记 住 ， 只 有 整数 才 是 合法 的 解 )。 发 现下 面 的 方程 没有 解 

Z 很 容易 : 
* =7 mod 13 

对 1024 位 的 数 求 离散 对 数 更 加 困难 。 


计算 有 限 群 中 的 离散 对 数 


密码 设计 者 对 下 面 三 个 主要 群 的 离散 对 数 很 感 兴趣 : 
。 素数 域 的 乘法 群 ， GF(p)。 

。 特征 为 2 的 有 限 域 上 的 乘法 群 : GF). 

。 有 限 域 下 上 的 椭圆 曲线 群 : ECCF) 。 
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许多 公开 密 钥 算法 的 安全 性 是 基于 寻找 离散 对 数 的 ， 因 此 对 这 个 问题 进行 了 广泛 的 研 
究 。 这 个 问题 的 综合 性 概述 和 目前 最 好 的 解法 可 参见 文献 L1189、1039]。 这 个 方面 目前 最 
好 的 文章 见 [934] 。 

WR p EBM. HARM. BALE GF(p) 上 寻找 离散 对 数 的 复杂 性 实质 上 与 对 同样 大 
小 的 一 个 整数 n 进行 因子 分 解 的 复杂 性 一 样 ，n 是 两 个 大 致 等 长 的 素数 的 乘积 BD 


(1/2) 


(+00) Unc py) Claclaepy P 


e 

NES 更 快 一 些 ， 其 渐 近 的 时 间 估计 值 是 ; 

ef}: 923-00) (nC p)) 

如 果 p 一 1 仅 有 小 的 素 因 子 ，Stephen Pohlig 和 Martin Hellman 发 现 了 一 种 在 GF(p) 上 
计算 离散 对 数 的 快速 方法 "2 。 由 于 这 个 原因 ， 只 有 p 一 1 至 少 有 一 个 大 因子 的 域 才能 用 于 
密码 学 中 。 另 一 个 计算 离散 对 数 的 算法 见 文 献 [14j， 其 速度 可 与 因子 分 解 相 比 较 ， 它 随即 
被 推广 到 形 如 GFCp") 的 域 上 ”1。 这 个 算法 由 于 有 菜 些 理论 上 的 问题 而 遭 到 批评 。 另 
一 些 文章 “指出 这 个 问题 实际 上 有 更 多 困难 。 

计算 离散 对 数 与 因子 分 解 有 紧密 的 关系 。 如 果 你 能 解决 离散 对 数 问题 ， 那 么 你 就 能 解决 
因子 分 解 问 题 。 ( 逆 命 题 的 正确 性 还 未 被 证 明 )。 目 前 ， 在 素数 域 上 有 三 种 方法 计算 离散 对 
Bi970.934.608] ， 线 性 筛选 法 (linear sieve) 、 高 斯 整数 法 (Gaussian integer scheme) 和 NFS, 

基本 的 扩展 计算 必须 在 每 个 域 上 做 一 次 。 之 后 ， 单 个 的 对 数 就 能 快速 进行 计算 。 对 基于 
这 些 域 的 系统 而 言 ， 这 是 一 个 安全 缺陷 。 所 以 ， 不 同 的 用 户 采 用 不 同 的 素数 域 是 很 重要 的 ， 
尽管 多 个 用 户 对 同一 应 用 可 以 使 用 一 个 共同 的 域 。 

在 扩展 域 的 世界 里 ，GF(2") 并 未 被 研究 者 忽略 ， 一 个 算法 已 被 提出 "” 。Coppersmith 
算法 使 得 在 诸如 GF(2”) 这 样 的 域 上 找到 离散 对 数 是 可 能 的 ， 而 在 诸如 GFO) 这 样 的 
域 上 找到 它们 也 几乎 是 可 能 的 2， 这 些 都 基于 [180] 中 的 工作 。 虽 然 这 个 算法 的 预计 算 
过 程 很 庞大 ,但 它 却 是 不 错 和 有 效 的 。 相 同 算法 的 一 个 低 效 的 版 本 实际 执行 时 ， 在 经 过 7 小 
时 的 预计 算 后 ， 对 GF(2”) 在 几 秒 内 就 找到 一 个 离散 对 数 %”"”]。 ( 曾 用 于 某 些 密码 系 
统 5 2 22 中 的 这 个 特定 域 是 不 安全 的 .) 这 些 结果 的 综述 参见 |， 

Hit, 对 GFO), GFO) 和 GFO) 的 预计 算 都 已 完成 ， 对 GF(2”) 也 已 取得 
了 显著 进步 。 这 些 计算 都 是 在 一 台 具 有 1024 个 处 理 器 的 紧 耦 合并 行 机 nCube-2 上 执行 
WE, GHE GFCO) 上 的 离散 对 数 还 是 一 个 未 实现 的 目标 。 

像素 数 域 上 的 离散 对 数 一 样 ， 预 计算 在 多 项 式 域 上 也 要 求 仅 计算 一 次 离散 对 数 。Taher 
ElGamal“ 中 给 出 了 一 个 计算 GFC) 域 上 的 离散 对 数 的 算法 。 
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数据 加 密 标准 





12.1 背景 

数据 加 密 标 准 (Data Encryption Standard，DES)， 作 为 ANSI 的 数据 加 密 算法 (Data 
Encryption Algorithm, DEA) 和 ISO 的 DEA-1, 成 为 一 个 世界 范围 内 的 标准 已 经 20 多 年 
了 。 尽 管 它 带 有 过 去 时 代 的 特征 ， 但 它 很 好 地 抗 住 了 多 年 的 密码 分 析 ， 除 了 可 能 的 最 强 有 力 
的 敌人 外 ， 对 其 他 的 攻击 仍 是 安全 的 。 


12.1.1 标准 的 开发 
在 20 世纪 70 年 代 初 ， 非 军用 密码 学 的 研究 处 在 混乱 不 堪 的 状态 中 。 在 这 个 领域 几乎 没 
有 研究 论文 发 表 。 大 多 数 人 都 知道 军 方 采用 特殊 的 编码 设备 来 进行 通信 ， 但 很 少 有 人 懂得 密 
码 学 这 门 科学 。 尽 管 国家 安全 局 NSA) 对 此 知之 其 多 ,但 他 们 却 不 公开 承认 自己 的 存在 。 
当时 的 购买 者 也 并 不 清楚 他 们 所 买 的 东西 。 只 有 几 家 小 公司 制造 和 出 售 密码 设备 ， 主 要 
是 卖 给 外 国政 府 。 这 些 设备 千差万别 ， 而 且 不 能 相互 通信 。 也 没有 人 真正 清楚 这 些 设备 是 否 
保密 ， 那 时 没有 独立 的 机 构 来 认证 它们 的 安全 性 。 正 如 一 个 政府 报告 "4 中 所 说 : 


无 论 过 去 还 是 现在 ， 事 实 上 几乎 所 有 买主 并 不 懂得 密 钥 变化 和 工作 原理 对 

加 密 / 解 密 设 备 的 实际 强度 影响 的 复杂 程度 ， 也 很 难 对 诸如 联机 、 脱 机 、 密 钥 产生 

等 这 些 满足 购买 者 安全 所 需 的 正确 方式 做 出 有 根 有 据 的 判断 。 

1972 年 ， 国 家 标准 局 (NBS)， 即 现在 的 国家 标准 与 技术 研究 所 (NIST)， 拟 定 了 一 个 
旨 在 保护 计算 机 和 通信 数据 的 计划 。 作 为 该 计划 的 一 部 分 ， 他 们 想 开 发 一 个 单独 的 标准 密码 
算法 。 这 个 独立 的 算法 应 该 能 测试 和 验证 ， 而 不 同 的 密码 设备 可 互 操作 ， 而 且 实 现 起 来 便宜 
并 易于 得 到 。 . 

Æ 1973 Æ 5 H 15 HKJ «Federal Register) k, NBS 发 布 了 公开 征集 标准 密码 算法 的 
请 求 ， 他 们 确定 了 一 系列 的 设计 准则 : 

。 算法 必须 提供 较 高 的 安全 性 。 

。 算法 必须 完全 确定 上 且 易 于 理解 。 

。 算法 的 安全 性 必须 依赖 于 密 钥 ， 而 不 应 该 依赖 于 算法 。 

。 算法 必须 对 所 有 的 用 户 都 有 效 。 

。 算法 必须 适用 于 各 种 应 用 。 

。 用 以 实现 算法 的 电子 器 件 必须 很 经 济 。 
算法 必须 能 有 效 使 用 。 

。 算法 必须 能 验证 。 

。 算法 必须 能 出 口 。 

公众 的 回答 表明 大 家 对 密码 标准 具有 相当 大 的 兴趣 ,但 对 这 个 领域 的 专业 知识 知之 其 
少 。 提 交 的 算法 都 与 要 求 相去 其 远 。 

1974 年 8 月 27 日 ，NBS 在 《Federal Register》 上 第 二 次 发 布 征集 。 最 后 ， 他 们 收 到 了 
一 个 有 前 途 的 候选 算法 : 该 算法 是 从 IBM 1970 年 初 开发 出 的 一 个 叫 Lucifer (参见 13.147) 


188 。 第 三 部 分 密码 算法 


的 算法 发 展 起 来 的 。IBM 在 Kingston 和 Yorktown Heights 有 一 支 致力 于 密码 学 的 研究 小 
组 ， 其 人 员 包 括 Roy Adler, Don Coppersmith, Horst Feistd, Edna Grossman, Alan Kon- 
heim, Carl Meyer, Bill Notz、Lynn Smith, Walt Tuchman 和 Bryant Tuckerman, 

尽管 该 算法 复杂 难 懂 ,但 易于 实现 。 它 只 对 小 的 位 组 进行 简单 的 逻辑 运算 ， 用 硬件 和 软 
件 实现 起 来 都 比较 有 效 。 

NBS 请 求 NSA 帮助 ， 对 算法 的 安全 性 进行 评估 以 决定 它 是 否 适 于 作为 联邦 标准 。IBM 
已 为 该 算法 5 申请 了 专利 ， 但 他 们 同意 让 其 他 公司 在 制造 、 实 现 和 使 用 中 使 用 他 们 的 知识 
产权 。NBS 与 IBM 达成 协议 ， 制 订 了 条 款 ， 最 后 获得 了 制造 、 使 用 和 销售 用 该 算法 实现 的 
设备 免 去 版 税 的 特许 。 

最 后 ,在 1975 Æ 3 H 17 AY «Federal Register) E, NBS 公布 了 算法 细节 和 IBM HE 
予 该 算法 免 去 版 税 的 声明 及 征求 评论 9 ,在 1975 年 8 月 1 日 的 《Federal Register) KÈK 
了 通知 ， 征 求 各 机 构 和 广大 公众 的 评论 。 

在 文献 [721、497、1120] 中 提 到 了 一 些 评论 。 许 多 密码 学 家 对 NSA 在 开发 该 算法 时 
的 “看 不 见 的 手 ”很 警惕 ， 他 们 担心 NSA 修改 了 算法 以 安装 陷 门 。 他 们 抱怨 NSA FE% H 
长 度 从 原来 的 112 位 减少 到 56 位 (参见 13. 1 节 )。 他 们 还 抱怨 算法 的 内 部 操作 。NSA 许多 
做 法 的 原因 到 1990 年 初 已 很 清楚 ， 但 在 20 世纪 70 年 代 ， 却 显得 神秘 而 令 人 忧虑 。 

1976 年 ，NBS 成 立 了 两 个 专题 研究 小 组 来 评估 所 提出 的 标准 。 第 一 个 专题 小 组 讨论 算 
法 的 数学 问题 及 安放 陷 门 的 可 能 性 65 ;第 二 个 专题 小 组 讨论 增加 算法 密 钥 长 度 的 可 能 
性 5 。 讨 论 会 邀请 了 算法 的 设计 者 、 评 估 者 、 实 现 者 、 零 售 商 、 用 户 和 批评 者 。 从 所 有 的 
报道 看 来 ， 讨 论 会 开 得 非常 热烈 "1。 

尽管 备 受 责难 ，1976 年 11 月 23 日 DES 还 是 被 采纳 作为 联邦 标准 5221 ， 并 授权 在 非 密 
级 的 政府 通信 中 使 用 。 该 标准 的 正式 文本 ，FIPS PUB 46 (DES), 在 1977 年 1 月 15 日 公 
布 ， 并 在 6 AARE; FIPS PUB 81 (DES 工作 方式 ) 于 1980 AAO, FIPS 
PUB 74 (实现 和 使 用 DES 的 指南 ) 于 1981 年 公布 5 。 另 外 NBS 还 公布 了 指定 DES 用 作 
口令 加 密 的 FIPS PUB 112" 和 指定 DES 用 作 计 算 机 数据 鉴别 的 FIPS PUB 11345] 
(FIPS 代表 联邦 信息 处 理 标准 )。 

这 些 标准 都 是 前 所 未 有 的 。 在 这 之 前 ， 没 有 一 个 NSA 执行 的 算法 被 公布 。 这 可 能 就 
是 导致 NSA 和 NBS 相互 误解 的 原因 。NSA 认为 DES 仅仅 是 一 个 硬件 。 该 标准 要 求 一 个 
硬件 的 实现 ,但 NBS 对 这 一 标准 公布 了 足够 多 的 细节 ， 所 以 人 们 完全 可 以 写 出 DES 的 实 
现 软件 。 没 有 记录 的 报道 称 ，NSA 曾经 将 DES 视 为 他 们 一 个 最 大 的 错误 。 如 果 他 们 知道 
细节 被 公布 ， 从 而 人 们 可 以 写 出 DES 的 软件 ， 那 么 他 们 永远 不 会 同意 公布 。DES 在 密码 
分 析 学 的 电子 实现 领域 做 得 更 多 一 些 。 目 前 NSA 正在 研究 一 个 号 称 是 安全 的 算法 。 不 出 
意外 的 话 ， 它 将 是 下 一 个 官方 标准 算法 : Skipjack (参见 13. 12 节 )， 这 方面 的 资料 是 保 
密 的 。 


12.1.2 ”标准 的 采用 
1981 Æ, 美国 国家 标准 研究 所 (ANSI) 批准 DES 作为 私营 部 门 的 标准 (ANSI 
X3. 92)550 ， 他 们 称 之 为 DEA。ANSI 公布 了 一 个 DEA 工作 方式 的 标准 (ANSI X3. 106)5521 
和 一 个 用 DES 进行 网 络 加 密 的 标准 (ANSI X3.105)°", MAE T NBS 的 文档 说 明 。 
ANSI 内 的 其 他 两 个 组 (零售 金融 和 批发 金融 ) 开发 了 基于 DES 的 标准 。 零 售 金融 包 
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括 金融 机 构 与 个 体 之 间 的 业务 ， 而 批发 金融 包括 金融 机 构 与 客户 团体 之 间 的 业务 。 

ANSI 的 金融 机 构 零 售 安全 工作 组 为 PIN 的 管理 和 安全 开发 了 一 个 标准 (ANSI 
X9. 8)55 ， 另 外 又 为 零售 金融 信息 的 鉴别 开发 一 个 基于 DES 的 标准 (ANSI X9. 19), 
个 组 还 拟定 了 一 个 秘密 密 钥 分 配 标准 的 草案 (ANSI X9. 240%), 

ANSI 的 金融 机 构 批发 安全 工作 组 自己 开发 一 套 标准 ， 这 套 标准 用 于 信息 鉴别 (ANSI 
X9. 9)50 、 密 钥 管 理 (ANSI X9. 17). fae CANST X9. 23)671 和 个 人 及 节点 的 安全 鉴 
别 CANSI X9. 26)" 。 

美国 银行 家 协会 为 金融 业 开发 了 几 个 自愿 性 标准 。 他 们 发 布 了 一 个 标准 ， 推 荐 在 加 密 时 
使 用 DES ， 另 外 ， 他 们 还 发 布 了 一 个 密 钥 管理 标准 ! 。 

在 1987 年 计算 机 安全 条 令 颁布 之 前 ， 由 美国 总 务 署 (GSA) 负责 制订 联邦 电信 标准 。 
自从 计算 机 安全 条 令 颁 布 以 后 ， 改 由 NIST 负责 。GSA 发 布 了 三 个 基于 DES 的 标准 : 其 中 
两 个 是 为 了 满足 一 般 的 安全 性 和 互 操作 性 需要 的 联邦 标准 10261 和 10271, 2 — F 
类 传真 设备 的 联邦 标准 10280" 。 

美国 财政 部 制定 政策 ， 要 求 所 有 的 电子 资金 转账 电文 使 用 DES 鉴别 ATT A 
订 了 基于 DES 的 准则 四， 所 有 的 鉴别 设备 必须 符合 这 些 准则 。 

国际 标准 化 组 织 CSO) 想 先 投票 赞成 将 DES (改名 为 DEA-1) 作为 国际 标准 ， 后 来 又 
决定 不 涉足 密码 的 标准 化 工作 。 然 而 ，1987 年 ，ISO 下 属 的 国际 销售 金融 标准 组 在 国际 认 
证 标准 中 使 用 了 DES55， 并 将 它 用 于 密 钥 管 理 "" 。 在 澳大利亚 金融 标准 中 也 使 用 
T DES ， 


12.1.3 DES 设备 的 鉴定 和 认证 


作为 DES 标准 的 一 部 分 ，NIST 对 DES 的 实现 进行 鉴定 。 通 过 这 种 鉴定 ， 确 认 该 实现 
是 否 遵循 标准 。 直 到 1994 年 ，NIST 也 只 鉴定 硬件 和 固件 实现 方法 一 一 那 时 标准 还 禁止 软 
件 实现 。 到 1995 年 3 月 ， 有 45 种 不 同 的 实现 方法 已 通过 鉴定 。 

NIST 还 开发 了 一 个 程序 来 认证 设备 是 否 符合 ANSI X9.9 Ail FIPS 113， 到 1995 年 3 
月 , 已 有 33 种 产品 通过 鉴定 。 财 政 部 还 有 一 个 认证 规程 。 并 且 ，NIST 开发 了 一 个 程序 以 
鉴定 设备 是 否 达 到 批发 密 钥 管理 的 ANSI X9. 17 BRO, B1995 年 3 月 ,已 有 4 种 产品 


12.1.4 1987 年 的 标准 


标准 的 条 款 中 规定 每 五 年 对 标准 重新 审查 一 次 。1983 年 ，DES 被 重新 认证 了 一 次 。 在 
1987 年 3 月 6 日 的 《Federal Registor》 上 ，NBS 发 表 了 一 个 请 求 ， 要 求 对 DES 的 第 二 个 五 
年 进行 评估 。NBS Hli TERA RUB RMON : 再 使 用 该 标准 三 年 、 取 消 该 标准 或 者 
修改 该 标准 的 适用 性 。 

NBS 和 NSA 重新 审查 了 这 个 标准 ， 这 次 NSA 参与 得 要 多 一 些 。 根 据 里 根 总 统 签署 的 
NSDD-145 的 行政 命令 ，NSA 在 密码 方面 上 对 NBS 有 否决 权 。 起 初 ， NSA 声称 不 再 担保 这 
个 标准 ， 其 原因 并 不 是 已 经 破译 了 DES， 其 至 连 怀疑 破译 了 都 不 是 ， 而 仅仅 是 DES 看 起 来 
很 快 将 被 破译 。 

作为 替代 ，NSA 提出 了 商业 通信 安全 担保 计划 (CCEP)， 该 计划 最 终 将 提供 了 一 系列 
的 算法 来 代替 DES. NSA 设计 的 这 些 算 法 将 不 会 公开 ， 而且 只 运用 在 防 拆 的 VLSI 芯片 
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E Cob 25.149). 

此 通告 没 被 很 好 地 接受 。 许 多 人 士 指 出 商业 上 (尤其 是 金融 上 ) 已 广泛 使 用 了 DES, 
没有 合适 的 方案 来 代替 它 。 废 除 这 个 标准 将 使 得 许多 机 构 无 法 保护 他 们 的 数据 。 经 过 大 量 的 
争论 ，DES 再 获 肯定 ， 可 以 作为 美国 政府 标准 使 用 到 1992 年 “| 。 根 据 NBS 的 看 法 ，DES 
将 不 会 再 被 认证 了 "1。 


12.1.5 1993 年 的 标准 


“ 话 不 要 说 绝 了 ”。 到 1992 年 ， 仍 然 没 有 DES WTAE. NBS MERA NIST, R 
在 《Federal Register》 上 再 次 征求 对 DES 的 评估 5 : 


这 个 通告 的 目的 是 征求 对 继续 使 用 这 个 标准 保护 计算 机 数据 的 合适 性 的 评价 。 
对 于 FIPS 46-1 来 自 工 业界 及 公众 的 评论 如 下 。 评 论 中 包括 了 这 些 可 选 方案 所 带 来 
的 代价 和 益处 : 
。 再 使 用 该 标准 五 年 。NISI 则 继续 监 定 实现 该 标准 的 设备 。FIPS 46-1 将 继 
续 是 唯一 获 批准 保护 非 密 计算 机 数据 的 方法 。 
。 取消 该 标准 。NISI 将 不 再 继续 支持 该 标准 。 各 机 构 可 以 继续 使 用 现 有 的 实 
现 该 标准 的 设备 。NIST 将 发 表 另 外 的 标准 代替 DES。 
。 修改 该 标准 的 适用 性 和 实现 说 明 。 人 和 修改 将 包括 改变 标准 ， 除 硬件 外 也 允许 
用 软件 方法 实现 DES、 人 允许 在 特定 应 用 中 反复 使 用 DES、 允 许 使 用 由 
NIST 批准 并 注册 的 替代 算法 。 
评估 于 1992 Æ 12 月 10 日 结束 。 依 照 NIST 的 代理 所 长 Raymond Kammer Mig), 


去 年 ，NIST 就 DES 的 重新 审查 问题 正式 征求 了 意见 。 在 考察 了 这 些 评 价 和 收 
到 的 其 他 技术 性 的 建议 后 ， 我 打算 向 商业 部 长 建议 再 认证 DES 五 年 。 我 也 打算 向 
部 长 建议 ， 在 宣布 认证 的 同时 ， 也 要 在 接 下 来 的 五 年 里 考虑 该 算法 的 替代 方案 。 通 
过 将 通告 公之于众 的 方式 ， 我 们 希望 给 人 们 一 个 讨论 合适 的 技术 过 渡 期 的 机 会 。 同 
时 ， 我 们 必须 考虑 依赖 于 这 个 已 证 明 标 准 的 巨大 的 已 安装 系统 的 基础 。 


尽管 技术 评审 局 引用 NIST 的 Dennis Branstead 的 话 ， 说 DES 的 使 用 寿命 将 在 20 世纪 
90 年 代 末 期 结束 ”0 ， 但 DES 算法 还 是 又 被 认证 了 五 年 "55 。DES 算法 的 软件 实现 最 后 也 
被 允许 鉴定 。 

人 们 都 在 猜测 ，1998 年 会 发 生 什么 ? 


12.2 DES 的 描述 


DES 是 一 个 分 组 加 密 算法 ， 它 以 64 位 为 分 组 对 数据 加 密 。64 位 一 组 的 明文 从 算法 的 一 
端 输入 ，64 位 的 密 文 从 另 一 端 输出 。DES 是 一 个 对 称 算法 : 加 密 和 解密 用 的 是 同一 算法 
〈 除 密 钥 编排 不 同 以 外 ) 。 

密 钥 的 长 度 为 56 位 。( 密 钥 通常 表示 为 64 位 的 数 ， 但 每 个 第 8 位 都 用 作 奇 偶 校 验 ， 可 
以 忽略 .) 密 钥 可 以 是 任意 的 56 位 的 数 ， 且 可 在 任意 的 时 候 改 变 。 其 中 极 少 量 的 数 被 认为 是 
弱 密 钥 ， 但 能 容易 地 避 开 它们 。 所 有 的 保密 性 都 依赖 于 密 钥 。 

简单 地 说 ， 算 法 只 不 过 是 加 密 的 两 个 基本 技术 一 一 混乱 和 扩散 的 组 合 。DES 基本 组 
建 分 组 是 这 些 技术 的 一 个 组 合 〈 先 代替 后 置换 )， 它 基于 密 钥 作用 于 明文 ， 这 是 众所周知 
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的 轮 (round), DES 16 轮 ， 这 意味 着 要 在 明文 分 组 上 16 次 实施 相同 的 组 合 技术 ( 见 


图 12-1). 

此 算法 只 使 用 了 标准 的 算术 和 逻辑 运算 ， 而 其 
作用 的 数 也 最 多 只 有 64 位 ， 因 此 用 20 世纪 70 年 代 
末期 的 硬件 技术 很 容易 实现 。 算 法 的 重复 特性 使 得 
它 可 以 非常 理想 地 用 在 一 个 专用 芯片 中 。 最 初 的 软 
件 实现 很 粗 陋 ， 但 现在 已 好 多 了 。 


12.2.1 算法 概要 


DES 对 64 位 的 明文 分 组 进行 操作 。 通 过 一 个 
初始 置换 ， 将 明文 分 组 分 成 左 半 部 分 和 右 半 部 分 ， 
各 32 位 长 。 然 后 进行 16 轮 完全 相同 的 运算 ， 这 些 
运算 称 为 函数 /， 在 运算 过 程 中 数据 与 密 钥 结合 。 
经 过 16 轮 后 ， 左 、 右 半 部 分 合 在 一 起 经 过 一 个 末 
置换 (初始 置换 的 逆 置 换 )， 这 样 该 算法 就 完成 了 。 

在 每 一 轮 中 ( 见 图 12-2)， 密 钥 位 移 位 ， 然 后 
再 从 密 钥 的 56 位 中 选 出 48 位 。 通 过 一 个 扩展 置换 
将 数据 的 右 半 部 分 扩展 成 48 位 ， 并 通过 一 个 异 或 
运算 与 48 位 密 钥 结合 ， 通 过 8 个 S 盒 将 这 48 Le 
代 成 新 的 32 位 数据 ， 再 将 其 置换 一 次 。 这 四 步 运 
算 构成 了 函数 f。 然 后 ， 通 过 另 一 个 异 或 运算 ， 函 
数 f 的 输出 与 左 半 部 分 结合 ， 其 结果 即 成 为 新 的 右 





ERINA 


- ~ 





图 12-1 DES 


半 部 分 ， 原 来 的 右 半 部 分 成 为 新 的 左 半 部 分 。 将 该 运算 重复 16 次 ， 便 实现 了 DES 的 16 轮 


运算 。 














图 12-2 一 轮 DES 


192 + 第 三 部 分 密码 算法 





假设 B: 是 第 i KERBER, L;i MR, 是 B; 的 左 半 部 分 和 右 半 部 分 ，K; 是 第 i 轮 的 48 
MEH. H f 是 实现 代替 、 置 换 及 密 钥 异 或 等 运算 的 函数 ， 那 么 每 一 轮 就 是 : 
L:= Ra 
下 ,一 Lii ® fFRa »K;) 


12.2.2 初始 置换 

初始 置换 在 第 一 轮 运算 之 前 执行 ， 对 输入 分 组 实施 如 表 12-1 所 示 的 变换 。 此 表 如 本 章 
中 的 其 他 表 一 样 ， 应 从 左 向 右 、 从 上 向 下 读 。 例 如 ， 初始 置换 把 明文 的 第 58 位 换 到 第 1 位 
的 位 置 ， 把 第 50 位 换 到 第 2 位 的 位 置 ， 把 第 42 位 换 到 第 3 位 的 位 置 等 。 


表 12-1 初始 置换 


58， 50， 42， 34， 26， 18， 10, 2 60, 52 44, 36, 28, 20, 12, 4, 
62, 54, 46, 38, 30, 22, 14, 6, 64, 56, 48, 40, 32, 24, 16, 8, 
57, 49, 41, 33, 25, 17, 9, 1 59, ol, 43, 35, 27, 19, 11, 3, 
6l, 53, 45, 37, 29, 21, 13, 5 63， 55， 47， 39, 31, 23, 15, 7 


初始 置换 和 对 应 的 末 置 换 并 不 影响 DES 的 安全 性 。( 正 如 人 们 所 说 ， 它 的 主要 目的 是 为 
了 更 容易 地 将 明文 和 密 文 数据 以 字 节 大 小 放 人 DES 芯片 中 。 记 住 ，DES 早 于 16 位 和 32 位 
微 处 理 器 总 线 。) 因为 这 种 位 方式 的 置换 用 软件 实现 很 困难 (虽然 用 硬件 实现 较 容易 )， 所 以 
DES 的 许多 软件 实现 方式 删 去 了 初始 置换 和 未 置换。 尽管 这 种 新 算法 的 安全 性 不 比 DES 差 ， 
但 它 并 未 遵循 DES 标准 ， 所 以 而 不 应 叫做 DES, 





12.2.3 ZAAK 

开始 ， 由 于 不 考虑 每 个 字 节 的 第 8 位 ， 所 以 DES 的 密 钥 由 64 位 减 至 56 位 ， 如 表 12-2 
所 示 。 每 个 字 节 的 第 8 位 可 作为 奇偶 校 验 以 确保 密 钥 不 发 生 错误 。 在 DES 的 每 一 轮 中 ， 从 
56 位 密 钥 产生 出 不 同 的 48 位 子 密 钥 (subkey) ， 这 些 子 密 钥 K; 由 下 面 的 方式 确定 。 


表 12-2 PAER 
57， 49， 41, 33, 25, 17, 9, 1, 58, 50, 42, 34, 26, 18, 
10 2 59 51 43 35 27, 19 11 3 60 52 44 36 
63 55 47 39 31 23 15, 7 62 54 46 38 30 22 
14 6 61 53 45 37 29, 21 13 5 28 20 12 4 


首先 ，56 位 密 钥 被 分 成 两 部 分 ， 每 部 分 28 位 。 然 后 ， 根 据 轮 数 ， 这 两 部 分 分 别 循环 左 
移 1 位 或 2 位 。 表 12-3 给 出 了 每 轮 移 动 的 位 数 。 


表 12-3 每 轮 移动 的 位 数 


移动 后 ， 就 从 56 位 中 选 出 48 位 。 因 为 这 个 运算 不 仅 置换 了 每 位 的 顺序 ， 同 时 也 选择 了 
子 密 钥 ， 因 而 称 为 压缩 置换 (compression permutaion) 。 这 个 运算 提供 了 一 组 48 位 的 集 。 
K 12-4 定义 了 压缩 置换 〈 也 称 为 置换 选择 ) 。 例 如 ， 处 在 第 33 位 的 那 一 位 在 输出 时 移 到 了 
第 35 位 的 位 置 ， 而 处 在 第 18 位 的 那 一 位 被 略 去 了 。 
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表 12-4 压缩 置换 
14, ITa EE 24, Ls 5, 3% 28, 15, 6, 215 10, 
239 19, is 4, 26, 8, 16, ts Zl 20, 135 25 
4l; 52, Bs Sia 47, SS 30, 40, Sla 45, 33s 48, 


44, 49, 39, 56, 34, 53, 46, 42, 50, 36, 29, 32 


因为 有 移动 运算 ， 所 以 在 每 一 个 子 密 钥 中 使 用 了 不 同 的 密 钥 子 集 的 位 。 虽 然 不 是 所 有 的 
位 在 子 密 钥 中 使 用 的 次 数 均 相同 ， 但 在 16 个 子 密 钥 中 ， 每 一 位 大 约 使 用 了 其 中 14 个 子 
密 钥 。 


12.2.4 扩展 置换 


这 个 运算 将 数据 的 右 半 部 分 R; 从 32 位 扩展 到 了 48 位 。 由 于 这 个 运算 改变 了 位 的 次 序 ， 
重复 了 某 些 位 ， 所 以 称 为 扩展 置换 (expansion permutation)。 这 个 运算 有 两 个 方面 的 目的 : 
它 产生 了 与 密 钥 同 长 度 的 数据 以 进行 异 或 运算 ; 它 提供 了 更 长 的 结果 ， 使 得 在 替代 运算 时 能 
进行 压缩 。 但是， 以 上 的 两 个 目的 都 不 是 它 在 密码 学 上 的 主要 目的 。 由 于 输入 的 一 位 将 影响 
两 个 替换 ， 所 以 输出 对 输入 的 依赖 性 将 传播 得 更 快 ， 这 叫做 雪 骨 效应 〈avalanche effect). 
故 DES 的 设计 着 重 于 尽 可 能 快 地 使 得 密 文 的 每 一 位 依赖 明文 和 密 钥 的 每 一 位 。 

图 12-3 显示 了 扩展 置换 ， 有 时 它 也 叫做 玉 盒 (E-box)。 对 每 个 4 位 输入 分 组 ， 第 1 位 
和 第 4 位 分 别 表示 输出 分 组 中 的 两 位 ， 而 第 2 位 和 第 3 位 分 别 表示 输出 分 组 中 的 一 位 。 
K 12-5 给 出 了 哪个 输出 位 对 应 于 哪个 输入 位 。 例 如 ， 处 于 输入 分 组 中 第 3 位 的 位 置 位 移 到 
了 输出 分 组 中 第 4 位 的 位 置 ， 而 输入 分 组 中 第 21 位 的 位 置 位 移 到 了 输出 分 组 中 第 30 位 和 第 
32 位 的 位 置 。 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 


























1 2 3 4 56 78 9 10 1112 1314 15 16 1718 1920 21 22 2324 


图 12-3 扩展 置换 

表 12-5 扩展 置换 
32. Di, 2s 3 4, $s 4， 54 6, hy 8, 9, 
8, 9, 10, lis 12, 135 T2s 13s 14, i5, 16, 17, 
16, 17, 18, 19, 20, Ziy 20, 2l, 22, 23， 24, 25y 


24, 25, 26, 27, 28, 29, 28e 29, 30, 31, A 1 
尽管 输出 分 组 大 于 输入 分 组 ， 但 每 一 个 输入 分 组 产生 唯一 的 输出 分 组 。 


12.2.5 SBR 
压缩 后 的 密 钥 与 扩展 分 组 异 或 以 后 ， 将 48 位 的 结果 送 入 进行 代替 运算 。 代 蔡 由 8 个 代 
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替 盒 (substitution box), RSH (S-box) 完成 。 每 一 个 S 盒 都 有 6 位 输入 、4 位 输出 ， 且 
这 8 个 S 盒 是 不 同 的 。(DES 的 这 8 个 S 盒 占 的 存储 空间 为 256 字 节 。) 48 位 的 输入 被 分 为 8 
个 6 位 的 分 组 ， 每 个 分 组 对 应 一 个 S 盒 代替 操作 : 分 组 1 由 S 盒 1 操作 ， 分 组 2 由 S 盒 2 操 
作 等 。 见 图 12-4。 


48 位 输入 


S#3 S#4 S 盒 6 S 盒 7 S 盒 8 
C sts D C sits) C sits D C st?) 


32 位 输出 





12-4 SARE 


每 个 S 盒 是 一 个 4 行 、16 列 的 表 。 盒 中 的 每 一 项 都 是 一 个 4 位 的 数 。S 盒 的 6 个 位 输入 
确定 了 其 对 应 的 输出 在 哪 一 行 哪 一 列 。 表 12-6 列 出 了 所 有 8 个 S 盒 。 


R 12-6 SH 


S 盒 2: 
15， 8， 14， 6， 1l, 3, 4, 9, T, 2, 13, 12, 0, 5， 10， 
3， 13， 4， 7， 15， 2， 8， 14, 12, 0, l, 10, 6, 9, ll, 5， 
0， 14， 人 11， 10， 4， 13， l; 5, 8, 12, 6, 9, 3, 2, 15, 
13, 8, 10, l, 3, 15, 4, 2, ll, 6, 7， 12， 0， 5， 14, 9, 
S#3: 
10, 0, 9, 14, 6, 3, 15, 5, l, 13, 12, Ts 11, 4, 2, 8, 
13, 7， 0， 9, 3, 4, 6, 10, 2, 8, 5, 14, 12, ll, 15, l, 
13, 6, 4, 9, 8, 15, 3, 0, 11, l, 2, 12, 5, 10, 14, 7, 


S@5: 
2, 12, 4, l, 7， 10， ll, 6, 8, 5， 3， 15， 13， 0， 14， 9， 
14， 11, 2, 12, 4, T, 13, 1, 5, 0, 15, 10, 3, 9, 8 6, 


第 12 章 数据 加 密 标准 。 195 


( 续 ) 
S 盒 6: 
12 1 10, 15 9 2 6, 8 0 13 3, 4 14 7 5 11 
10 15, 4 2 if 12 9, 5 6 1 13, 14 0 ll 3 8 
9 14, 15, 5 2 8 12, 3 7 0, 4, 10 1 13 iH 6 
4 3 2, 12 9 5 15, 10 11 14, 1 7 6 0 8 13 
SAT: 
4 地 2, 14 15 0 8 135 3 12 9 7 5 10, 6, l, 
13 0 11, ji 4 9 l 10, 14, 3 5 12 2 15 8， 6， 
1 4 11 13 12 3 A 14, 10 15 6 8 0 5 9， 2， 
6 11 13 8 1 4 10 7; 9 5 0 15 14 2 3; 12, 
SA8: 
13 25 8 4 6 15 11 1 10 9， 3 14 5 0 12 7 
l, 15, 13, 8, 10, 3, 7， 4， 12， 5， 6, ll, 0, 14, 9, 2, 
7 lly 4 1 9 12 14 2 0 6 10 13 15 3 5 8 
2 l, 14 7 4, 10, 8, 13, 15, 12, 9, 0, 3, 5, 6, 11 


输入 位 以 一 种 非常 特殊 的 方式 确定 了 S 盒 中 的 项 。 假 定 将 S 盒 的 6 MAREN bis 
6b:、b3、b4、bs、bs 。b1 和 bs 组 合 构 成 了 一 个 2 位 的 数 ， 从 0~3， 它 对 应 于 表 中 的 一 行 。 从 
bs 一 bs 构成 了 一 个 4 位 的 数 ， 从 0 一 15， 对 应 于 表 中 的 一 列 。 

例如 ， 假 设 第 6 个 S 盒 的 输入 〈 即 异 或 函数 的 第 31~36 位 ) 为 110011。 第 1 位 和 最 后 
一 位 组 合 形成 了 11， 它 对 应 着 第 6 个 S 盒 的 第 三 行 。 中 间 的 4 位 组 合 在 一 起 形成 了 1001, 
它 对 应 着 同一 个 S 盒 的 第 9 列 。S 盒 6 的 第 三 行 第 9 列 的 数 是 14 〈 记 住 ， 行 、 列 的 记 数 均 从 
0 开始 ， 而 不 是 从 1 开始 ) WA 1110 就 代替 了 110011, 

当然 ， 用 软件 实现 64 项 的 S 盒 更 容易 。 仅 需要 花费 一 些 精力 重新 组 织 S 盒 的 每 一 项 ， 
这 并 不 困难 。(S 盒 的 设计 必须 非常 仔细 ， 不 要 仅仅 改变 查找 的 索引 ， 而 不 重新 编排 S 盒 中 
的 每 一 项 。) 然而 ，S 盒 的 这 种 描述 ， 使 它 的 工作 过 程 可 视 化 了 。 每 个 S 盒 可 看 做 一 个 4 位 
输入 的 代替 函数 : 乌 一 上 5 直接 输入 ， 输 出 结果 为 4 位 。b, 和 bs 位 来 自 临近 的 分 组 ， 它 们 从 
特定 S 盒 的 四 个 代替 函数 中 选择 一 个 。 

这 是 该 算法 的 关键 步 又 。 所 有 其 他 的 运算 都 是 线性 的 ， 易 于 分 析 。 而 S 盒 是 非 线性 的 ， 
它 比 DES 的 其 他 任何 一 步 都 提供 了 更 好 的 安全 性 。 

这 个 代替 过 程 的 结果 是 8 个 4 位 的 分 组 ， 它 们 重新 合 在 一 起 形成 了 一 个 32 位 的 分 组 。 
这 个 分 组 将 进行 下 一 步 : P 盒 置换 。 


12.2.6 PEH 


S 盒 代替 运算 后 的 32 位 输出 依照 了 盒 (P-box) 进行 置换 。 该 置换 把 每 输入 位 映射 到 输 
出 位 ， 任 一 位 不 能 映射 两 次 ， 也 不 能 被 略 去 ， 这 个 置换 叫做 直接 置换 (straight permuta- 
tion) ， 或 就 叫做 置换 。 表 12-7 给 出 了 每 位 移 至 的 位 置 。 例 如 ， 第 21 位 移 到 了 第 4 位 ， 同 时 
第 4 位 移 到 了 第 31 位 。 
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表 12-7 PER 
16, ibs 20, 21, 29, 12, 28, 17, l, 15, 23, 26, 5, 18, 31, 10, 
2 8 24 14 32 27 3 9 19, 13 30 6 22 LE 4 25 


最 后 ， 将 了 盒 置 换 的 结果 与 最 初 的 64 位 分 组 的 左 半 部 分 异 或 ， 然 后 左 、 右 半 部 分 交换 ， 
接着 开始 男 一 轮 。 


12.2.7 REK 


末 置 换 是 初始 置换 的 逆 过 程 ， 表 12-8 列 出 了 该 置换 。 注 意 DES 在 最 后 一 轮 后 ， 左 半 部 
分 和 右 半 部 分 并 未 交换 ， 而 是 将 Ru 与 Lu 并 在 一 起 形成 一 个 分 组 作为 末 置 换 的 输入 。 到 此 ， 
不 再 做 其 他 的 事 。 其 实 交换 左 、 右 两 部 分 并 循环 移动 ， 仍 将 获得 完全 相同 的 结果 。 但 这 样 
做 ， 就 使 该 算法 既 能 用 作 加 密 ， 又 能 用 作 解 密 。 


表 12-8 RKE 


40， 8 48 16 56 24， 64 32, 39 7 47 15 55 23, 63 31 
38, 6 46 14 54 22, 62 30, 37 5 45 13 53 21 61 29 
36, 4 44 12 52 20, 60 28, 35 3 43 11 51 19, 59 27 
34, 2 42 10 50 18, 58 26, 33 1 41 9 49 17, 57 25 


12.2.8 DES 解密 


在 经 过 所 有 的 代替 、 置 换 、 蜡 或 和 循环 移动 之 后 ， 你 或 许 认 为 解密 算法 与 加 密 算 法 完全 
不 同 ， 并 且 也 像 加 密 算 法 一 样 有 很 强 的 混乱 效果 。 人 恰恰 相反 ， 经 过 精心 选择 各 种 运算 ， 获 得 
了 这 样 一 个 非常 有 用 的 性 质 : 加 密 和 解密 可 使 用 相同 的 算法 。 

DES 使 得 用 相同 的 函数 来 加 密 或 解密 每 个 分 组 成 为 可 能 。 两 者 的 唯一 不 同 是 密 钥 的 次 
序 相反 。 这 就 是 说 ， 如 果 各 轮 的 加 密 密 钥 分 别 是 Ki, Ko» Kas os Kiss ABA ff At 
是 Kis，Ki;s，Ku，…，K1。 为 各 轮 产 生 密 钥 的 算法 也 是 循环 的 。 密 钥 向 右 移动 ， 每 次 移动 
WRA Ou ls Zy By Be 2p Be By Ty Zy Za By By Zy l 


12.2.9 DES 的 工作 模式 


FIPS PUB 81 定义 了 四 种 工作 方式 : 电子 密 本 (ECB)、 密 码 分 组 链接 (CBC)、 输 出 反 
fii (OFB) 和 密 文 反馈 (CFB) 〈 见 第 9 BE), ANSI 银行 标准 中 规定 加 密 用 ECB 和 CBC 
方式 ， 鉴 别 用 CBC 和 n 位 的 CFB ER”, 

在 软件 界 ， 认 证 问题 没有 引起 争论 。 因 为 ECB 方式 简单 ， 所 以 尽管 它 最 易于 攻击 ， 但 
在 流行 的 商业 软件 产品 中 ， 它 仍 是 最 常 采用 的 方式 。CBC 方式 只 是 偶尔 采用 ， 尽 管 它 比 
ECB 方式 仅仅 复杂 一 点 儿 ， 但 它 提供 了 更 好 的 安全 性 。 


12. 2. 10 DES 的 硬件 和 软件 实现 


有 关 该 算法 高 效 的 硬件 和 软件 实现 方式 的 文章 ， 参 见 文献 [997、81、553、534、 
437、738、1573、176、271、1572j。 到 目前 为 止 ，DES 芯片 速度 的 最 快 记录 保持 者 是 由 
数字 设备 公司 (DEC) 开发 的 一 个 样品 中 1。 它 支 持 ECB 和 CBC 方式 ， 有 基于 GaAs 门 阵 
的 5 万 个 晶体 管 ， 数 据 加 密 / 解 密 速 率 达 1Gb/s， 它 能 在 1 秒 内 加 密 1680 万 个 数据 分 组 ， 
这 个 速率 是 令 人 难忘 的 。 表 12-9 列 出 了 一 些 商 用 DES 芯片 的 描述 。 由 于 芯片 内 部 管线 的 
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不 同 ， 它 们 在 时 钟 速率 和 数据 速率 上 存在 着 差异 。 一 个 芯片 中 可 能 有 多 个 并 行 工 作 的 
DES 模块 。 


R 12-9 商业 DES 芯片 








制造 商 芯片 制造 日 期 时 钟 (MHz) 数据 速率 (MB/s) 可 用 性 
AMD Am9518 1981 3 1.3 否 
AMD Am9568 ? 4 1.5 否 
AMD AmZ8068 1982 4 1. 7 否 
AT&T T7000A 1985 ? 1.9 否 
SuperCrypt 
CE-Infosys ede 1992 20 12.5 是 
SuperCrypt 
CE-Infosys sd 1994 30 20.0 是 
Cryptech Cry12C102 1989 20 2.8 是 
Newbridge CA20C03A 1991 25 3. 85 是 
Newbridge CA20C03W 1992 8 0. 64 是 
Newbridge CA95C68/18/09 1993 33 14. 67 是 
Pijnenburg PCC100 ? ? 2.5 是 
Semaphore Communications Roadrunner284 ? 40 35:5 是 
VLSI VM007 1993 32 200. 0 是 
VLSI VM009 1993 33 14.0 是 
VLSI 6868 1995 32 64.0 是 
Western Digital WD2001/2002 1984 3 0. 23 F 


令 人 印象 最 深 的 DES 芯片 是 VLSI 的 6868 (正式 的 叫 法 为 Gatekeeper) 。 它 不 仅 可 以 在 
8 个 时 钟 周期 内 完成 DES 加 密 (其 样品 在 实验 室内 只 用 了 4 个 时 钟 周 期 )， 而 且 可 以 在 25 个 
时 钟 周期 内 完成 ECB 方式 加 密 ， 在 35 个 时 钟 周期 内 完成 OFB 或 CBC 方式 加 密 。 这 听 起 来 
简直 不 可 能 ， 但 它 确实 如 此 。 

DES 的 软件 实现 方法 ， 在 IBM 3090 大 型 计算 机 上 每 秒 能 完成 32 000 次 加 密 。 微 机 要 慢 
一 点 儿 ， 但 仍 相 当 快 。 表 12-10!" 4A h T HE Intel 和 Motorola 的 几 种 微 处 理 器 上 运算 的 
结果 和 估计 。 


R 12-10 不 同 微 处 理 器 上 的 DES 速度 





处 理 器 速度 (MHz) DES 分 组 〈 每 秒 ) 
8088 4.7 370 

68000 7.6 900 

80286 6 1100 

68020 16 3500 

68030 16 3900 

80286 25 5000 

68030 50 10 000 

68040 25 16 000 

68040 40 23 000 


80486 66 43 000 
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( 续 ) 
处 理 器 速度 (MHz) DES 分 组 (每 秒 ) 
Sun ELC 26 000 
HyperSparc 32 000 
RS6000-350 53 000 
Sparc 10/52 84 000 
DEC Alpha 4000/610 154 000 
HP 9000/887 125 196 000 


12.3 DES 的 安全 性 

长 久 以 来 人 们 对 DES 的 安全 性 都 持 怀疑 态度 “ 。 对 密 钥 长 度 、 和 迭代 次 数 和 S 盒 的 设计 
有 颇 多 的 腾 测 ， 特 别 是 S 盒 一 一 所 有 的 SS 盒 都 是 固定 的 ， 而 又 没有 明显 的 理由 说 明 为 什么 要 
这 样 。 尽 管 IBM 声称 ，DES 内 部 的 工作 方式 是 17 个 人 多 年 集体 密码 分 析 的 结果 ， 但 仍 有 些 
人 担心 NSA 在 算法 中 艇 入 了 陷 门 ， 这 样 一 来 ， 他 们 就 能 用 一 个 简便 的 方法 对 消息 进行 
解密 。 

美国 参议 院 情 报 调查 委员 会 于 1978 i de th 调查 了 这 件 事 。 调 查 结 
果 是 保密 的 ， 但 调查 结果 的 总 结 不 保密 ， 这 个 总 结 为 NSA 洗 脱 了 不 适当 地 卷 人 了 该 算法 设 
计 的 罪名 M4 一 一 “据说 ，NSA 使 IBM he 使 用 短 的 密 钥 比 较 合 适 ， 还 直接 帮助 设计 了 
S 盒 的 结构 ， 并 证 明了 最 终 的 DES 算法 没有 统计 上 和 数学 上 的 弱点 .5 然而， 由 于 政府 一 
直 没 有 将 调查 的 细节 公之于众 ， 很 多 人 仍 持 怀疑 态度 。 

设计 DES 的 两 个 IBM 密码 学 家 Tuchman 和 Meyer 说 过 NSA 并 未 改动 设计 "0 : 


他 们 的 基本 方法 是 寻找 强 的 代 兰 、 置 换 和 密 钥 编排 函数 ……: IBM 按照 NSA 的 
要 求 将 含有 选择 准则 的 记录 予以 保密 ……Tuchman 解释 道 : “NSA SHA, 我 
们 无 意 地 用 到 了 一 些 深层 次 的 秘密 ，NSA 就 是 使 用 它们 来 编写 自己 的 算法 。” 


在 那 篇 文章 的 后 面 ，Tuchman 引述 :“ 我 们 完全 在 IBM 范围 内 ， 由 IBM 的 人 员 来 开发 
DES 算法 。NSA 并 没有 指导 过 一 点 点 !” 在 1992 年 的 美国 国家 计算 机 安全 讨论 会 上 
Tuchman 在 回顾 DES 的 历史 时 重申 了 这 一 点 。 

另 一 方面 ，Coppersmith Æ [373, 374] ik: “NSA 也 为 IBM 提供 了 技术 建议 。” 
而 且 ，Kon-heim 曾经 引述 道 :“ 我 们 将 S 盒 送 到 华盛顿 。 他 们 将 它 反馈 回来 ， 并 且 与 以 前 的 
都 不 相同 。 我 们 运行 了 我 们 的 测试 ， 这 些 S 盒 都 通过 了 .” 人 们 以 此 作为 NSA 在 DES 算法 
中 嵌入 了 陷 门 的 证 据 。 

当 NSA 被 质询 是 否 在 DES 上 强加 了 漏洞 时 ，NSA 说 3]， 


关于 DES， 我 们 相信 1978 年 参议 院 情报 委员 会 关于 NSA 在 开发 DES 中 所 起 
作用 的 公开 报道 中 已 经 回答 了 这 个 问题 。 该 委员 会 的 报告 表明 ，NSA 并 没有 以 任 
何 形式 左右 DES 算法 的 设计 ， 而 DES 提供 的 保密 性 能 ， 对 它 要 保护 的 非 机 密 数 据 
而 言 足 够 用 至 少 5 一 10 年 的 时 间 。 简 言 之 ，NSA 没有 把 缺陷 强加 或 试图 强加 到 
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DES F. 


那么 ， 他 们 为 什么 要 修改 S 盒 ? 也 许 是 为 了 确保 IBM 没有 在 DES HAPAA TKK. 
NSA 没有 理由 相信 IBM 的 研究 成 果 ， 而 且 如 果 他 们 不 能 绝对 确定 DES 没有 陷 门 ， 那 么 将 
是 他 们 职责 上 的 玖 忽 。 修 改 S Behe DES 有 无 陷 门 的 一 种 方法 。 

最 近 ， 一 些 新 的 密码 分 析 结 果 弄 清 了 这 个 问题 ,但 多 年 来 ， 关 于 它们 一 直 存 在 着 多 种 
猜测 。 
12.3.1 BE 

由 于 算法 各 轮 的 子 密 钥 是 通过 改变 初始 密 钥 这 种 方式 得 到 的 ， 所 以 有 些 初始 密 钥 成 了 弱 
密 钥 (weak key)52 2 。 大 家 记得 ， 初 始 值 分 成 了 两 部 分 ， 每 部 分 各 自 独 立地 移动 。 如 果 
每 部 分 的 所 有 位 都 是 0 或 1， 那么 算法 的 任意 周期 的 密 钥 都 是 相同 的 。 当 密 钥 是 全 1、 全 0 
或 者 一 半 是 全 1、 一 半 是 全 0 时 ， 就 会 发 生 这 种 情况 。 此 外 ， 其 中 两 种 弱 密 钥 还 具有 使 其 安 
全 性 变 差 的 其 他 性 质 *]。 

K 12-11 以 十 六 进 制 编码 方式 给 出 了 四 种 弱 密 铀 。 (注意 ， 每 个 第 8 位 是 奇偶 校 
验 位 。) 

表 12-11 DES 534A 





535 BE GEL Crt FAB BE ae DD 真实 密 钥 
0101 0101 0101 0101 0000000 0000000 
1F1F 1F1F 0EOE 0EOE 0000000 FFFFFFF 
E0E0 E0E0 F1F1 F1F1 FFFFFFF 0000000 
FEFE FEFE FEFE FEFE FFFFFFF FFFFFFF 


此 外 ， 还 有 一 些 密 钥 对 把 明文 加 密 成 相同 的 密 文 。 换 名 话说 ， 密 钥 对 里 的 一 个 密 钥 能 
解密 另 一 个 密 钥 加 密 的 信息 。 这 也 是 由 于 DES 产生 子 密 钥 这 种 方式 所 决定 的 。 这 些 密 角 
只 产生 2 个 不 同 的 子 密 钥 ， 而 不 是 16 个 不 同 的 子 密 钥 。 算 法 中 每 个 这 样 的 子 密 钥 都 使 用 
了 8 次。 这 些 子 密 钥 叫做 半 弱 密 钥 (semiweak key)， 表 12-12 以 十 六 进 制 表示 方法 给 出 了 
它们 。 


表 12-12 DES 半 弱 密 钥 


01FE O1FE OLEE 01FE 和 FEO1 FEO1 FEO] FEO1 
1FEO 1FEO OEF1 OEF1 和 EO1F E01F F10E F10E 
01E0 01E0 O1F1 O1F1 和 E001 E001 F101 F101 
1FFE 1FFE OEFE OEFE 和 FEIF FEIF FEOE FEOE 
OLE 011F 010E O10E 和 1F01 1F01 0E01 0E01 
EOFE EOFE FIFE FIFE 和 FEEO FEEO FEF1 FEFI 


也 有 只 产生 4 个 子 密 钥 的 密 钥 ， 每 个 这 样 的 子 密 钥 在 算法 中 使 用 了 4 次 。 这 些 可 能 的 弱 
密 钥 在 表 12-13 中 列 出 。 
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表 12-13 DES 可 能 的 弱 密 钥 


























1F 1F 01 01 0E 0E 01 01 E0 01 01 E0 FI 01 01 Fl 
01 1F IF 01 01 0E 0E 01 FE IF 01 E0 FE 0E ol Fl 
1F 01 01 IF 0E 0l 01 0E FE 01 1F EO FE 01 0E Fl 
01 01 IF IF 01 01 OE 0E E0 1F 1F E0 Fl 0E 0E Pl 
EO EO 01 01 Fl Fl 01l ol FE 01 01 FE FE 01 01 FE 
FE FE 01 01 FE FE 01 01 E0 LF 01 FE Fl 0E 01 FE 
FE E0 1F 01 FE F1 0E 01 E0 0l 1F FE Fl 01 0E EE 
EO FE 1F 01 Fl BE 0E 01 FE 1F iF FE PE OE 0E FE 
FE EO 01 1F FE Fi 01 0E 1F FE 01 E0 0E FE 01 Bi 
E0 FE 01 1F Fl FE 01 0E 01 FE 1F E0 01 FE 0E F1 
E0 E0 iF IF Fl Fl 0E 0E IF EO 01 FE 0E Fl 01 EE 
FE FE 1F IF FE BE 0E OE 01 E0 IF FE 01 Fl 0E FE 
FE 1F E0 01 FE 0E FI 01 01 01 E0 E0 01 01 Fl F1 
EO 1F FE 01 Fl 0E FE 01 1F IF EO E0 0E OE Fl Fl 
FE 01 E0 1F FE 01 Fl 0E 1F 01 FE E0 0E 0l FE F1 
E0 01 FE LF Fl 01 FE OE 01 1F FE E0 01 0E FE Fl 
01 E0 E0 01 01 F1 Fl 01 1F 01 EO FE 0E 0l F1 FE 
LE FE E0 01 0E FE FO 01 01 IF E0 FE 01 0E Fl FE 
1F E0 FE 01 OE Fl FE 01 01 01 FE FE 01 01 FE FE 
01 FE FE 01 01 FE FE, 01 1F 1F FE FE 0E 0E FE. FE 
1F E0 E0 1F OE Fl Fl 0E FE FE E0 E0 FE FE Fl Fl 
01 FE EO LB 01 FE Fl OE EO FE FE E0 F1 FE FE Fl 
01 E0 FE 1F 01 F1 FE OE FE E0 E0 FE FE F1 F1 FE 
1F FE FE 1F 0E FE FE 0E E0 E0 FE FE F1 F1 FE FE 


在 责备 DES 有 弱 密 钥 之 前 ， 请 先 考察 下 列 事实 ， 即 这 张 64 个 密 钥 的 密 钥 表 相 对 于 总 数 
为 72、057、594、037、927、936 个 可 能 密 钥 的 密 钥 集 而 言 只 是 零头 。 如 果 你 随机 选择 密 
钥 ， 选 中 这 些 弱 密 钥 中 一 个 的 可 能 性 可 以 忽略 。 如 果 你 实在 对 此 耿耿 于 怀 ， 你 可 以 在 密 钥 产 
生 时 不 断 地 检查 ， 以 防 产生 弱 密 钥 。 有 些 人 认为 不 值得 如 此 麻烦 。 另 一 些 人 说 ， 这 人 么 容易 检 
查 ， 没 有 理由 不 做 。 

在 文献 [L1116]」 中 有 对 弱 密 钥 和 半 弱 密 钥 更 进一步 的 分 析 。 此 外 ， 关 于 密 钥 的 虚弱 性 对 
其 他 密 钥 模式 也 已 做 了 调查 ， 但 什么 也 没有 发 现 。 


12.3.2 4k% 


将 密 钥 的 每 一 位 取 反 ， 也 就 是 说 ， 将 所 有 的 0 用 1 代替 ， 将 所 有 的 1 用 0 代替。 假设 用 
原来 的 密 钥 加 密 一 个 明文 分 组 得 到 一 个 密 文 分 组 ， 那 只 用 该 密 钥 的 补 密 钥 加 密 将 该 明文 分 组 
的 补 便 得 到 该 密 文 分 组 的 补 。 

如 果 z' 是 xz 的 补 ， 则 有 如 下 的 等 式 : 

Er(P)=C 
E'gP =C 
这 并 不 神秘 。 子 密 钥 与 每 一 轮 经 扩展 置换 输出 的 右 半 部 分 异 或 运算 ,使 其 具有 互补 特性 
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的 直接 结果 。 

这 表明 ,对 DES 的 选择 明文 攻击 仅 需 要 测试 其 可 能 的 2 个 密 钥 的 一 半 ，2 个 即 
Ay) | Eli Biham 和 Adi Shamir 已 经 证 明 对 相同 复杂 度 的 已 知 明文 攻击 ， 至 少 要 有 OY 个 已 
RASC"! 。 

这 是 否 是 DES 的 弱点 有 待 讨论 。 因 为 绝 大 多 数 消 息 并 无 明文 补 分 组 (对 随机 的 明文 ， 
出 现 明文 补 分 组 的 可 能 性 还 是 相当 大 )， 用 户 被 告戒 不 要 使 用 补 密 钥 。 


12.3.3 ”代数 结构 


将 所 有 可 能 的 64 位 明文 分 组 映射 到 所 有 可 能 的 64 位 密 文 分 组 共有 2") 种 不 同 的 方法 。 
56 位 密 钥 的 DES 算法， 为 我 们 提供 了 2”( 大 约 10”) 个 这 种 映射 关系 ， 采 用 多 重 加 密 看 起 
来 似乎 可 以 获得 这 些 可 能 映射 关系 中 的 更 多 部 分 。 然 而 ， 这 仅 在 DES 运算 不 具有 某 种 代数 
结构 的 条 件 下 才 成 立 。 

如 果 DES 是 闭合 的 〈closed) ， 那 么 对 任意 的 K! 和 天 , ， 必 将 存在 K, 使 得 

Ex, (Ex, (P)) = Ex, (P) 
换言之 ，DES 对 一 组 明文 用 K 加 密 后 再 用 K; 加 密 ， 这 等 同 于 用 K 对 该 明文 进行 加 密 。 
更 糟糕 的 是 ，DES 将 很 容易 受到 中 间 相 遇 明 文 攻击 ， 这 种 攻击 只 需要 搜索 2” 步 "]， 
如 果 DES 是 纯洁 的 〈pure) ， 那 么 对 任意 的 Ki, K: 和 K;， 必 将 存在 Ky, 使 得 
Ex, (Ex, (Ex, (P))) = Ex, (P) 
三 重 的 加 密 将 是 无 用 的 〈 注 意 ， 一 个 闭合 的 密码 必定 是 纯洁 的 ， 但 纯洁 的 密码 不 一 定 是 闭合 
的 ) 。 

Don Coppersmith 写 的 早期 理论 性 文章 给 出 了 一 些 提示 ， 但 不 充分 5  。 许 多 数学 家 曾 
仔细 研究 过 这 个 问题 23783152773.789] ， 这 些 研究 虽 获 得 了 DES 不 是 一 个 群 的 “大 量 证 
据 ”0" 337.803.116.809] ， 但 直到 1992 年 密码 学 家 才 证 明 DES AE — HE?! , Coppersmith 称 
IBM 的 研究 队伍 一 直 都 知道 这 个 问题 。 


12.3.4 密 钥 的 长 度 


IBM 最 初 向 NBS 提交 的 方案 有 112 位 密 钥 。 直 到 DES 成 为 一 个 标准 时 ， 才 被 削减 至 56 
位 密 钥 。 许 多 密码 学 家 力荐 使 用 更 长 的 密 钥 ， 他 们 的 理由 集中 在 穷 举 攻击 的 可 能 性 上 (参看 
he dL “BD 

1976 年 和 1977 Æ, Diffie 和 Hellman 证 明 一 台 专 用 于 破译 DES 的 并 行 计算 机 能 在 一 天 
中 重新 找到 密 钥 ， 但 将 耗资 2000 万 美元 。1981 年 ，Diffie 将 这 个 数据 增加 到 2 天 的 搜索 时 
间 和 5000 万 美元 的 费用 "0 Diffie 和 Hellman 据 此 指出 ， 除 了 像 NSA 这 种 机 构 外 ， 任 何 
人 都 不 可 能 破译 DES， 但 到 1990 年 时 ，DES 将 完全 是 不 安全 的 5 。 

Hellman 提出 了 另 一 个 反对 短 密 钥 长 度 的 理由 : 用 存储 空间 的 增 大 来 换取 时 间 的 减 
少 ， 将 加 速 这 一 搜索 过 程 。 如 用 每 个 可 能 的 密 钥 加 密 一 个 明文 分 组 能 得 到 2”* 个 可 能 的 结果 ， 
Hellman 提出 了 计算 和 存储 这 些 结果 的 可 能 性 。 这 样 的 话 ， 要 破译 一 个 未 知 的 密 钥 ， 密 码 分 
析 者 所 要 的 一 切 即 是 把 明文 分 组 插入 加 密 序列 中 ， 恢 复 得 到 的 密 文 ， 从 而 找到 密 钥 。Hell- 
man 估计 ， 这 种 破译 机 的 费用 将 不 会 超过 500 万 美元 。 

关于 是 否 在 某 个 政府 的 某 个 地 下 室 里 秘密 地 存在 有 一 台 DES 破译 机 的 争论 仍 在 继续 。 
有 些 人 指出 ， 这 些 DES 芯片 的 平均 故障 间隔 时 间 不 能 确保 机 器 正常 工作 ， 这 个 疑虑 已 在 文 
HR L1278]」 中 被 证 明 是 不 必要 的 。 男 一 些 人 提出 了 提高 处 理 速度 和 减少 芯片 出 错 带 来 影响 的 
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方法 。 

同时 ，DES 的 硬件 实现 方法 逐步 接近 Diffie 和 Hellman 的 专用 机 所 要 求 每 秒 百 万 次 加 
密 的 速度 。1984 年 制造 出 了 每 秒 完成 256 000 次 加 密 的 DES ak BO) 。1987 年 又 研制 出 
了 每 秒 完成 512 000 次 加 密 的 芯片 ， 并 且 还 研制 出 了 每 秒 能 搜索 100 万 个 密 钥 的 芯 
1738-1573] 。 而 且 ，1993 年 ，Michael Wiener 设计 了 一 个 100 万 美元 的 机 器 ， 它 能 在 平均 3.5 
小 时 内 ， 完 成 对 DES 的 穷 举 攻击 (参见 7. 1 9). 

尽管 假定 有 人 拥有 这 种 穷 举 破译 机 是 有 一 定 道理 的 ,但 没有 人 公开 承认 建造 了 这 种 机 
器 。100 万 美元 对 一 个 大 国 或 者 甚至 一 个 中 等 大 小 的 国家 ， 都 不 是 一 个 大 数目 。 

直到 1990 年 ， 两 位 以 色 列 数学 家 Biham 和 Shamir 发 现 了 差分 密码 分 析 技 术 (differen- 
tial cryptanalysis)， 这 种 技术 将 密 钥 长 度 问 题 暂且 搁置 起 来 。 在 讨论 这 个 技术 前 ， 让 我 先 转 
到 DES 的 其 他 一 些 设计 准则 上 。 


12.3.5 和 迭代 的 次 数 


DES 为 什么 是 16 轮 而 不 是 32 轮 ? 经 过 5 轮 和 迭代 后 ， 密 文 每 一 位 基本 上 是 所 有 明文 和 密 
SALKI RAET; 经 过 8 轮 迭 代 后 ， 密 文 基本 上 是 所 有 明文 和 密 钥 位 的 随机 函数 (这 
称 为 雪崩 效应 )。 那 为 什么 算法 在 8 轮 后 还 不 停止 呢 ? 

近年 来 ， 多 种 降低 轮 数 的 DES 已 被 成 功 地 攻击 。1982 年 ，3 轮 或 4 轮 DES 就 被 轻易 地 
破译 了 "  。 几 年 后 ，6 轮 DES 也 被 破译 了 5 。Biham 和 Shamir 的 差分 密 钥 分 析 同 样 也 了 
阐明 了 这 一 点 : 对 低 于 16 轮 的 任意 DES 的 已 知 明文 攻击 比 穷 举 攻击 有 效 。 有 趣 的 是 ， 当 算 
法 恰好 有 16 轮 时 ， 只 有 穷 举 攻击 最 有 效 的 。 


12.3.6 Siit 

除了 因为 减少 了 密 钥 长 度 而 遭 非 难 外 ，NSA 还 被 指责 修改 了 S 盒 的 内 容 。 当 被 质询 S 
盒 的 设计 依据 时 ，NSA 表示 ， 算 法 设计 原理 是 “敏感 的 ”， 不 宜 公 之 于 众 。 许 多 密码 学 家 担 
心 NSA 设计 S 盒 时 隐藏 了 “ 陷 门 ”， 使 得 只 有 他 们 才 可 以 破译 算法 。 

自从 那 时 起 ， 人 们 在 分 析 S 盒 的 设计 和 运算 上 做 了 大 量 的 工作 。20 世纪 70 年 代 中 叶 ， 
Lexar 公司 ”和 Bell 实验 室 "" 中 研究 了 S 盒 的 运算 ， 尽 管 他 们 都 发 现 了 不 能 解释 的 特征 ， 
但 研究 中 并 没有 找到 弱点 。 如 果 S 盒 是 随机 选择 的 ， 那 么 S 盒 的 线性 变换 将 具有 比 预期 更 大 
的 普遍 性 。Bell 实验 小 组 说 S 盒 可 能 隐藏 了 陷 门 ，Lexar 的 报告 结论 是 : 


已 发 现 的 DES 的 结构 毫 无 疑问 增强 了 系统 抗击 一 定 攻击 的 能 力 ， 同 时 也 正 是 
这 些 结构 似乎 削弱 了 系统 抗 攻击 的 能 力 。 


男 一 方面 ， 这 个 报告 也 提出 了 警告 : 


(探寻 S 铭 的 结构 ) 问题 是 很 复杂 的 事 ， 借 助人 的 思维 能 力 去 发 现 随 机 数 的 结 
构 与 实际 的 结构 根本 不 相同 。 


在 DES 的 第 二 次 讨论 会 上 ，NSA 透露 了 S 盒 的 几 条 设计 准则 1 。 这 些 并 未 消除 人 们 
的 猜测 ， 和 侍 论 还 在 继续 区 2 422.714, 15061951) 

关于 S 盒 的 文献 有 很 多 。 第 4 个 S 盒 的 后 三 位 输出 可 以 像 第 一 位 的 输出 一 样 ， 通 过 对 某 
些 输入 位 取 补 推出 3。 经 过 精心 挑选 的 两 个 不 同 输入 可 使 S Ge AE AT A 。 如 
果 只 改变 三 个 相 邻 S 盒 的 输入 位 ， 可 使 单 轮 DES $i di ATA). Shamir 注意 到 S 盒 的 输入 
项 看 起 来 具有 某 种 不 平衡 ， 但 这 种 不 平衡 并 不 导致 可 能 的 攻击 "“*” 〈 他 提 到 了 第 5 SS 
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一 个 特性 ， 但 8 年 后 才 由 线性 分 析 证 明了 这 一 特性 )。 其 他 的 研究 者 指出 ， 已 公开 的 设计 准 
则 可 以 用 来 产生 SA”, 


12.3.7 ”其 他 结论 


还 发 表 了 一 些 DES 的 分 析 结 果 。 一 位 密码 学 家 研究 了 基于 频谱 测试 的 非 随机 性 5 。 另 
外 一 些 密码 学 家 研究 过 DES 的 线性 因子 序列 ， 但 攻击 在 第 8 轮 后 即 告 失败 333  。1987 
年 ，Donald Davies 未 公布 的 攻击 ， 探 索 了 用 扩展 置换 重复 接 人 S 盒 的 方法 ， 这 种 攻击 也 在 8 
轮 后 失败 5272.429] 。 


12.4 差分 及 线性 分 析 


12.4.1 差分 密码 分 析 


1990 年 ，Eli Biham 和 Adi Shamir 提出 了 差分 密码 分 析 (differential cryptanalysis)" 18171177) 。 
这 是 个 新 的 密码 分 析 方 法 ， 在 此 之 前 没有 公之于众 。 利 用 这 种 方法 ，Biham 和 Shamir 找到 了 一 
个 选择 明文 的 DES 攻击 方法 ,该 方法 比 穷 举 攻击 有 效 。 

差分 密码 分 析 考 查 那些 明文 有 特定 差分 的 密 文 对 。 当 明文 使 用 相同 的 密 钥 加 密 时 ， 分 析 
其 在 通过 DES 的 轮 扩散 时 差分 的 演变 。 

简单 地 ， 选 择 具 有 固定 差分 的 一 对 明文 。 这 两 个 明文 可 随机 选取 ， 只 要 求 它 们 符合 特定 
的 差分 条 件 ， 密 码 分 析 者 甚至 不 必 知 道 它 们 的 值 。(“ 差 分 ”在 DES 中 定义 为 异 或 运算 。 不 
RAE MAT.) 然后 ， 使 用 输出 密 文中 的 差分 ， 按 照 不 同 的 概率 分 配给 不 同 的 密 钥 。 随 
着 分 析 的 密 文 对 越 来 越 多 ， 其 中 最 可 能 的 一 个 密 钥 将 显现 出 来 。 这 就 是 正确 的 密 钥 。 

详细 的 过 程 比较 复杂 。 图 12-5 所 示 为 DES 的 轮 函 数 。 
假定 有 一 对 输入 X 和 X'， 它 们 的 差分 为 AX， 则 输出 了 和 
Y 也 是 已 知 的 ， 因 而 它们 也 有 差分 为 AY。 扩 展 置 换 和 P 
盒 都 是 已 知 的 ,那么 AA 和 ACHE A. BHA BAB ER 
知 的 ， 但 它们 的 差分 AB 等 于 AA。( 当 考查 差分 时 ，K; 与 
4A 和 A 的 异 或 可 略 去 .。) SAR AIL, 一 切 顺利 。 这 有 一 
个 技巧 : 对 任意 给 定 的 AA，AC 的 值 不 一 定 都 相同 。 将 
AA 和 AC 联合 起 来 ， 就 可 以 猜测 出 A 异 或 K; 及 A' 异 或 
K; 的 位 值 ， 因 为 A 和 A' 是 已 知 的 ， 所 以 可 推出 关于 K; 
的 信息 。 

让 我 们 来 考查 DES 的 最 后 一 轮 (差分 分 析 忽 略 了 初始 
置换 和 末 置 换 。 它 们 除了 使 DES 难 解释 外 ， 不 影响 对 
DES 的 攻击 )。 如 果 能 确定 Ki。， 那 么 就 能 知道 48 位 的 密 
钥 〈 记 住 ， 每 一 轮 的 子 密 钥 由 56 位 密 钥 中 的 48 位 构成 ) 。 
其 余 的 8 位 可 通过 穷 举 攻击 得 到 。 至 此 ， 我 们 通过 差分 分 
析 就 可 以 得 到 Kiso 

明文 对 中 的 一 些 差 分 在 得 到 的 密 文 对 中 有 很 高 的 重 现 率 ， 这 些 差分 就 叫做 特征 (char- 
acteristic) 。 特 征 在 轮 数 上 得 以 扩充 ， 并 定义 了 一 条 轮 间 路 径 。 对 某 一 个 输入 差分 ， 每 一 轮 
的 差分 及 最 终 的 输出 差分 之 间 都 有 一 个 特定 的 概率 。 

可 以 通过 产生 这 样 一 个 表 来 找到 这 些 特征 : 行 表 示 可 能 的 输入 异 或 〈 两 个 不 同 输入 位 集 











图 12-5 DES 轮 函 数 
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的 异 或 ); 列表 示 可 能 的 输出 异 或 ;输入 项 表示 对 于 给 定 的 输入 异 或 ， 产 生 特定 输出 异 或 的 
次 数 。 对 DES8 个 S 盒 的 每 一 个 ， 都 可 以 产生 这 样 的 一 个 表 。 

例如 ， 图 12-6a 是 一 个 一 轮 的 特征 。 左 边 的 输入 差分 为 L， 它 可 以 是 任意 的 ， 右 边 的 输 
入 差分 为 0( 两 个 输入 的 右 半 部 分 相同 ， 所 以 差分 为 0)。 因 为 轮 函 数 没有 差分 输入 ， 所 以 它 
没有 输出 差分 。 因 此 ， 左 边 的 输出 差分 为 L 0 二 LL， 右边 的 输出 差分 为 0。 这 是 一 个 平 几 

图 12-6b 所 示 是 一 个 不 明显 的 特征 。 同 上 ， 左 边 的 输入 差分 为 任意 值 上， 右边 的 输入 差 
分 为 0x60000000。 两 个 输入 差分 仅 第 二 位 及 第 三 位 不 同 。 轮 函数 的 输出 差分 为 
L ® 0x00808200 的 概率 是 14/64。 这 意味 着 ,左边 的 输出 差分 为 L © 0x00808200. AW 
输出 差分 为 0x60000000 的 概率 是 14/64. 











A=L A=0 A=L A=X 
a | 
-Er Le | 
A=L® Y A= 
X=60000000 
Y=00808200 
a) 概率 为 1 b) 概率 为 14/64 


图 12-6 DES 特征 


不 同 的 特征 可 以 结合 。 而 且 ， 假 定 轮 与 轮 之 间 是 独 A=Y A=X 
立 的 ， 那么 轮 与 轮 之 间 的 输出 概率 可 以 相 乘 。 图 12-7 
将 前 面 介绍 的 两 个 特征 结合 在 一 起 。 左 边 的 输入 差分 为 
0x00808200， 右 边 的 输入 差分 为 0x60000000。 第 一 轮 
结束 时 ， 轮 函数 的 输入 差分 和 输出 差分 被 略 去 ， 使 得 其 
输出 差分 为 0。 这 个 值 输入 第 二 轮 运算 。 最 后 ， 左 边 的 
输出 差分 为 0x60000000， 右 边 的 输出 差分 为 0。 具 有 这 
两 轮 运算 特征 的 可 能 性 为 14/64。 

满足 特征 的 明文 对 称 为 正确 对 (right pair)， 不 满 





A=X 








足 的 称 为 错误 对 (wrong pair) 。 正 确 对 将 可 以 猜测 正确 A=X A=0 
的 轮 密 钥 (对 特征 的 最 后 一 轮 )， 错 误 对 猜测 的 轮 密 钠 X=60000000 

是 随机 的 。 为 了 找到 正确 的 轮 密 钥 ， 只 需 收 集 足 够 的 猜 sale 

测 结果 ， 必 然 有 一 个 子 密 钥 被 猜 的 频率 大 于 其 他 的 猜测 概率 为 14/64 

结果 。 这 将 是 很 有 效 的 ， 正 确 的 子 密 钥 将 从 所 有 的 随机 图 12-7 2 轮 DES 特征 
候选 密 钥 中 浮现 出 来 。 


因此 ， 对 一 个 n 轮 DES， 经 过 nn 轮 的 基本 差分 攻击 ， 将 可 以 恢复 48 位 子 密 钥 ， 剩 余 的 
8 位 可 通过 穷 举 攻击 猜测 得 到 。 

还 有 一 些 值得 思考 的 问题 。 首 先 ， 你 要 达到 某 个 门限 ， 否 则 取得 成 功 的 机 会 微乎其微 。 
也 就 是 说 ， 即 使 你 计算 了 足够 多 的 数据 ， 你 也 不 能 从 所 有 这 些 随机 结果 中 确定 正确 的 子 密 
钥 。 而 且 ， 这 种 攻击 并 不 实用 : 你 必须 对 2 个 可 能 的 密 钥 ， 用 计数 器 来 统计 各 自 不 同 的 概 
率 ， 要 完成 这 个 工作 ， 需 要 的 数据 量 太 大 。 
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基于 上 述 这 点 ，Biham 和 Shamir 改变 了 他 们 的 攻击 。 对 16 轮 的 DES， 他 们 使 用 了 13 
轮 特征 ， 而 不 是 15 轮 特 征 ， 并 使 用 一 些 技巧 来 得 到 后 几 轮 的 特征 。 具 有 高 概率 的 短 特征 ， 
攻击 效果 更 好 。 而 且 ， 他 们 使 用 了 一 些 技巧 方法 来 得 到 56 位 的 候选 密 钥 ， 这 些 密 钥 可 以 立 
即 被 检测 ， 从 而 省 略 了 计数 器 的 使 用 。 一 旦 找到 正确 对 ， 这 种 攻击 就 取得 了 成 功 ， 它 避 开 了 
门限 和 给 定 的 线性 成 功率 的 问题 。 如 果 所 选择 的 对 小 于 所 需 对 的 1000 倍 ， 那 么 攻击 的 成 功 
率 也 将 减 小 1000 倍 。 这 听 起 来 很 可 怕 ， 但 比 门限 问题 要 好 一 些 。 它 总 存在 一 定 的 立即 成 功 
的 机 会 。 

这 个 结论 很 有 意义 。 表 12-14 所 示 为 对 不 同 轮 数 的 DES 进行 攻击 的 最 佳 差 分 分 析 的 一 
个 总 结 " 5 。 第 一 列表 示 轮 数 ， 紧 接着 的 两 列 为 攻击 必须 检测 的 选择 明文 或 已 知 明文 个 数 ， 
第 四 列 为 实际 分 析 的 明文 数目 ， 最 后 一 列 是 找到 需要 明文 的 分 析 复 杂 性 。 


表 12-14 DES 的 差分 密码 分 析 攻 击 
轮 数 选择 明文 已 知 明文 实际 分 析 明 文 分 析 的 复杂 性 





注 : x 通 过 使 用 团 的 方法 ， 对 4 倍 的 明文 进行 分 析 ， 分 析 的 复杂 性 能 大 幅度 地 降低 。 


对 一 个 完整 的 16 轮 DES 的 最 佳 攻 击 需 要 22 个 选择 明文 ， 也 可 转换 为 已 知 明文 攻击 ， 
但 将 需要 2 个 已 知 明文 ， 而 且 在 分 析 过 程 中 要 经 过 2” 次 DES 运算 。 

差分 分 析 的 攻击 方法 是 针对 DES 和 其 他 类 似 有 国定 S 盒 的 算法 。 它 极 大 地 依赖 于 S A 
的 结构 。DES 的 S 盒 恰好 最 适宜 于 抗 差分 分 析 。 而 且 ， 对 DES 的 任何 一 种 工作 方式 CECB, 
CBC, CFB 和 OFB)， 差 分 分 析 攻 击 具 有 相同 的 复杂 性 。 

通过 增加 迭代 的 次 数 可 改善 DES 抗 差分 分 析 的 性 能 。 对 17 轮 或 18 轮 DES 的 差分 分 析 
(选择 明文 ) 所 需要 的 时 间 与 穷 举 搜索 的 时 间 大 致 相等 5%* 。 轮 数 为 19 或 更 多 时 ， 采 用 差分 
分 析 将 是 不 可 能 的 ， 因 为 那 将 需要 2“ 个 选择 明文 : 记 住 DES 的 分 组 大 小 为 64 位 ， 因 而 它 
最 多 有 2” 可 能 的 明文 分 组 (通常 ， 对 某 算法 通过 演示 出 完成 攻击 所 需 的 明文 数量 大 于 可 能 
的 明文 数量 ， 就 可 以 证 明 该 算法 对 差分 分 析 有 抵抗 性 ) 。 

这 里 有 几 个 要 上 点。 首先， 差分 分 析 主 要 是 理论 上 的 。 差 分 分 析 所 要 求 的 巨大 时 间 量 和 数 
据 量 几 乎 超过 了 每 个 人 的 承受 能 力 。 为 了 获得 差分 分 析 所 不 可 少 的 数据 ， 你 必须 对 选择 明文 
的 速度 为 1. 5Mb/s 的 数据 序列 加 密 3 年 。 其 次 ， 这 首先 是 一 种 选择 明文 攻击 。 差 分 分 析 也 
可 以 进行 已 知 明文 攻击 ， 但 为 了 得 到 有 用 的 明文 - 密 文 对 ， 必 须 所 有 的 明文 - 密 文 对 进行 得 
选 。 对 于 16 轮 DES 来 说 ， 这 使 得 穷 举 攻击 甚至 比 差分 分 析 攻 击 有 效 一 点 〈 差 分 分 析 攻 击 需 
2 次 运算 ， 而 穷 举 攻击 需 2” 次 运算 )。 对 此 一 致 认为 ， 如 果 DES 能 够 正确 地 实现 ， 那 么 它 
对 差分 分 析 仍 然 是 安全 的 。 

为 什么 DES 能 如 此 抗 差分 分 析 ? 为 什么 S 盒 被 优化 使 得 差分 分 析 变 得 尽 可 能 困难 ? 为 


206 + 第 三 部 分 密码 算法 


什么 DES 有 抗 差 分 分 析 所 要 求 的 那么 多 轮 数 ,但 又 为 什么 不 采用 更 多 的 轮 数 ? 原因 在 于 设 
计 者 知道 差分 分 析 。 最 近 ，IBM 的 Don Coppersmith 在 [373、374]」 中 写 道 : 
设计 者 运用 了 一 些 密码 分 析 学 的 技术 ， 其 中 最 主要 的 技术 是 差分 密码 分 析 技 
术 ， 这 在 公开 的 文献 上 未 报道 过 。 我 们 同 NSA 讨论 后 ， 认 为 公布 我 们 的 设计 思 
路 ， 就 将 暴露 差分 分 析 技 术 ， 而 这 是 一 个 可 以 攻击 许多 密码 的 强 有 力 的 技术 ， 这 必 
然 会 前 弱 美 国 在 密码 学 领域 与 其 他 国家 的 竞争 优势 。 


Adi Shamir 对 此 做 出 反应 ， 他 质问 Coppersmith 说 ， 自 那 以 后 他 怎么 没有 发 现 更 强 的 攻 
击 DES 的 方法 ? XER, Coppersmith 选择 了 沉默 。 


12. 4.2 相关 密 钥 密码 分 析 


K 12-3 给 出 了 每 轮 后 DES 密 钥 的 环 移 位 数 : 除了 在 1、2、9、16 轮 后 左 移 1 位 外 ， 其 
余 的 都 左 移 2 位 。 这 是 为 什么 呢 ? 

相关 密 钥 密码 分 析 (related-key cryptanalysis) 类 似 于 差分 分 析 ， 但 它 考 查 不 同 密 钥 间 
的 差分 ， 这 种 攻击 不 同 于 以 前 所 讨论 的 任何 攻击 方法 : 密码 分 析 者 选择 的 是 密 钥 对 间 的 关 
系 ， 而 不 是 密 钥 本 身 。 数 据 由 两 个 密 钥 加 密 。 在 已 知 明文 的 相关 密 钥 攻击 中 ， 密 码 分 析 者 知 
道明 文 和 用 这 种 密 钥 加 密 的 密 文 ;在 选择 明文 的 相关 密 钥 攻击 中 ， 密 码 分 析 者 选择 明文 ， 并 
用 这 两 个 密 钥 加 密 。 

4 DES 修改 成 其 密 钥 在 每 轮 后 环 移 两 位 ， 它 的 安全 性 就 会 降低 。 相 关 密 钥 分 析 能 用 
217 个 选择 密 钥 选 择 明文 或 2” 个 选择 密 钥 已 知 明文 破译 DES 的 这 种 变型 0*153]。 

相关 密 钥 攻击 一 点 也 不 实用 ， 但 它 有 三 个 方面 的 意义 : 第 一 ， 它 是 第 一 个 攻击 DES F 
密 钥 产生 算法 的 密码 分 析 方 法 ; 第 二 ， 此 攻击 方法 与 密码 算法 轮 数 无 关 ， 它 对 16 轮 、32 轮 
或 1000 # DES 同样 有 效 ; 第 三 ， 此 攻击 方法 对 DES 无 影响 。DES 密 钥 的 环 移 变化 阻止 了 
相关 密 钥 分 析 的 影响 。 


12.4.3 线性 密码 分 析 


线性 密码 分 析 (linear cryptanalysis) 是 Mitsuru Matsui 提出 的 另 一 种 密码 分 析 攻 击 方 
PUNO TOT] | ae Ah BC aie FA Be HEE UR IR PS 〈 这 里 指 DES) 的 操作 。 

这 意味 着 ， 如 果 你 将 明文 的 一 些 位 、 密 文 的 一 些 位 分 别 进行 异 或 运算 ， 然 后 再 将 这 两 
个 结果 异 或 ， 那 么 你 将 得 到 一 位 ， 这 一 位 是 将 密 钥 的 一 些 位 进行 异 或 运算 的 结果 。 这 就 
是 概率 为 p 的 线性 近似 值 。 如 果 p 关 1/2， 那 么 就 可 以 使 用 该 偏差 .用 得 到 的 明文 和 对 应 
的 密 文 来 猜测 密 钥 的 位 值 。 得 到 的 数据 越 多 ， 猜 测 越 可 靠 。 偏 差 越 大 ， 用 同样 数据 量 的 
成 功率 越 高 。 

如 何 确定 DES 的 一 个 好 的 线性 逼近 呢 ? 找到 好 的 1 轮 线性 逼近 ， 再 将 它们 组 合 在 一 起 
〈 同 差分 分 析 一 样 ， 忽 略 初 始 置换 和 末 置 换 ， 因 为 它们 不 影响 线性 分 析 攻 击 的 效果 )。 再 来 考 
察 S 盒 。 它 是 6 位 输入 ，4 位 输出 ， 因 而 输入 位 的 组 合 异 或 运算 有 (25-1) =63 种 有 效 方 
式 ， 输 出 位 有 15 种 有 效 方式 。 那 么 现在 ， 对 每 一 个 S 盒 的 随机 选择 输入 ， 你 都 能 计算 输入 
的 组 合 异 或 等 于 某 个 输出 组 合 异 或 的 可 能 性 。 如 果菜 个 组 合 具 有 足够 高 的 偏向 性 ， 那 么 线性 
分 析 就 可 能 已 找到 了 。 

如 果 线 性 通 近 无 偏向 性 ， 那 么 它 可 能 有 64 种 可 能 输入 中 的 32 种 。 我 将 不 再 用 表格 和 纸 
张 来 描述 它 ， 但 最 大 偏差 的 S 盒 是 S 盒 5。 实际 上 ， 对 只 有 12 个 输入 的 S 盒 ， 第 2 个 输入 
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位 等 于 它 所 有 4 个 输出 位 的 组 合 异 或 。 该 转换 的 可 能 性 为 3/16， 或 概率 为 5/16， 这 也 是 所 
有 S 盒 的 最 大 概率 值 (Shamir 在 文献 [1423] 中 提 到 了 这 点 ， 但 没有 找到 实施 方法 )。 


图 12-8 显示 了 如 何 对 DES 的 轮 函 数 进行 
线性 攻击 。S 盒 5 的 输入 位 是 bs (按照 从 左 到 
Ais 从 1 到 64 的 顺序 对 位 计数 。Matsui 忽略 
DES 的 这 种 惯例 ， 而 是 按照 从 右 往 左 ， 从 0 到 
63 的 顺序 计数 。 一 定 要 分 清楚 ) 。S 盒 5 的 4 个 
输出 位 是 C17、 Cigs Ci X Coo 我 们 向 后 追溯 到 
S 盒 的 输入 端 来 追踪 bzs 的 踪迹 。 U26 与 子 密 铀 
Kizs 中 的 一 位 异 或 ， 得 到 bzs o 而 位 Xi 通过 扩 
展 置换 得 到 ax 。 经 过 S 盒 运算 后 的 4 位 输出 ， 
通过 了 盒 运 算 成 为 轮 函 数 的 4 位 输出 : Ys» 
Ys, Yu K Yz 。 这 意味 着 下 式 成 立 的 可 能 性 为 
1/2~5/16: 

Xi OY; © Ys OY © YY; = Kiz 

不 同 轮 的 线性 分 析 可 采用 差分 分 析 中 讨论 
过 的 类 似 的 组 合 方式 。 图 12-9 所 示 是 一 个 可 能 
性 为 1/2 十 . 0061 的 3 轮 线性 分 析 。 每 轮 的 逼近 
性 是 变化 的 : 最 后 一 轮 非 常 好 ， 第 一 轮 较 好 ， 
中 间 一 轮 差 。 但 将 这 3 个 1 轮 的 盘 近 组 合 起 来 ， 
显示 了 一 个 非常 好 的 3 轮 的 逼近 性 。 

对 16 轮 DES 采 取 最 佳 线性 逼近 分 析 的 基 
本 攻击 ， 需 要 2” 个 已 知 明文 分 组 才能 得 到 1 个 
密 钥 位 ， 这 将 不 太 有 用 。 如 果 将 明文 和 密 文 互 
换 ， 即 加 密 又 解密 ， 就 可 得 到 2 密 钥 位 ， 但 这 
仍然 不 太 有 用 。 

有 一 个 改进 方法 。 对 2 一 15 轮 采 用 一 个 14 
轮 的 线性 逼近 分 析 。 对 S 盒 的 第 一 轮 和 最 后 一 
He (总 共有 12 密 钥 位 )， 猜 测 其 相关 的 6 位 子 
密 钥 。 并 行 地 进行 2 次 线性 分 析 ， 挑 选 具有 一 
定 概 率 的 正确 密 钥 位 ， 是 很 有 效 的 方法 。 通 过 
这 种 方式 得 到 12 位 加 上 bos ， 颠 倒 明 文 和 密 文 
可 得 到 另外 13 位 ， 再 用 穷 举 搜索 法 得 到 剩余 的 
30 位 。 其 中 有 一 些 技巧 ， 但 不 是 必需 的 。 

攻击 完整 的 16 轮 DES， 当 已 知 明文 的 平均 
数 为 2 时 ， 线 性 分 析 攻 击 可 得 到 密 钥 。 在 12 
台 HP9000/735 工作 站 上 完成 这 种 攻击 的 软件 
实现 ， 花 费 了 50 REE, A AAE, € 
还 是 最 有 效 的 攻击 DES 的 方法 。 
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图 12-8 DES 的 1 轮 线性 通 近 
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A=[3,8,14,25] B=[8,14,25] 
WEZH 1/2+6.1 x 107 
图 12-9 DES 的 3 轮 线 性 逼近 


线性 分 析 极 大 地 依赖 于 S 盒 的 结构 ， 而 DESH S 盒 对 线性 分 析 来 说 不 是 最 合适 的 。 事 
KE, DES 选择 的 S 盒 的 阶 数 只 有 9%% 一 16%， 只 具有 极 小 的 抗 线性 分 析 的 能 力 5" ”1 。 按 照 
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Don Coppersmith 的 说 法 ， 抗 线性 分 析 “ 不 属于 DES 标准 的 设计 范畴 ”。 他 们 或 许 不 知道 线 
性 分 析 ， 或 者 了 解 更 有 效 、 更 高 级 的 对 抗 S 盒 准则 的 方法 。 

线性 分 析 比 差分 分 析 新 ， 在 未 来 的 几 年 内 ， 它 的 性 能 将 会 得 到 更 多 的 改进 。 文 献 
[1270, 811] 中 提出 了 一 些 建议 ， 但 不 清楚 对 完整 的 DES 攻击 是 否 有 效 。 然 而 ， 对 轮 数 减 
少 的 DES 变型 ， 这 些 方法 很 有 效 。 


12.4.4 未 来 的 方向 


将 差分 分 析 的 内 涵 延 伸 到 高 阶 差分 分 析 的 工作 已 经 有 人 在 做 了 -860 | Lars 
Knudsen 采用 一 种 称 为 部 分 差分 分 析 的 方法 攻击 6 轮 的 DES， 它 需要 32 个 选择 明文 和 2 万 
个 加 密 数据 ”“" 。 这 种 扩展 方法 太 新 ， 因 而 还 不 清楚 它 对 完整 的 16 轮 DES 攻击 是 否 要 容 
易 些 。 

男 一 种 方法 是 差分 -线性 分 析 (differential-linear cryptanalysis)， 即 将 差分 分 析 和 线性 
分 析 结 合 起 来 。Susan Langford 和 Hellman 对 一 个 8 轮 DES 进行 攻击 ， 选 择 明 文 数 为 512 
时 ， 恢 复 10 密 钥 位 的 可 能 性 为 80%; 选择 明文 数 为 768 时 ， 恢 复 10 密 钥 位 的 可 能 性 为 
95%。 在 上 述 攻 击 进行 后 ， 再 采用 穷 举 搜索 得 到 剩余 的 密 钥 空间 (2* 个 可 能 密 钥 )。 这 种 攻 
击 不 仅 在 时 间 上 与 前 面 介绍 的 攻击 有 可 比 性 ， 而 且 需 要 的 明文 数目 少 得 多 。 然 而 ， 对 更 多 轮 
数 的 DES， 这 种 扩展 似乎 也 不 易 实现 。 

因为 这 种 攻击 技术 还 是 比较 新 的 ， 而 且 这 方面 的 工作 还 在 进行 中 。 也 许 ， 在 不 久 的 将 来 
就 会 在 这 方面 取得 突破 。 也 许 将 来 高 阶 差分 分 析 会 更 有 用 。 谁 能 知道 呢 ? 

12.5 实际 设计 准则 

在 差分 分 析 公 开 后 ，IBM 公布 了 S 盒 和 了 盒 的 设计 准则 2 ?5 。S 盒 的 设计 准则 是 : 

。 每 个 S 盒 均 为 6 位 输入 ，4 位 输出 。 (这 是 在 1974 年 的 技术 条 件 下 ， 单 个 芯片 所 能 

容纳 的 最 大 尺寸 。) 

。 没有 一 个 S 盒 的 输出 位 是 接近 输入 位 的 线性 函数 。 

。 如 果 将 输入 位 的 最 左 及 最 右 端 的 位 固定 ， 变 化 中 间 的 4 位 ,那么 每 个 可 能 的 4 位 输 

出 只 能 得 到 一 次 。 

。 如 果 S 盒 的 两 个 输入 仅 有 1 位 的 差异 ， 则 其 输出 至 少 必 须 有 2 位 不 同 。 

。 如 果 S 盒 的 两 个 输入 仅 有 中 间 2 位 不 同 ， 则 其 输出 至 少 必须 有 2 位 不 同 。 

。 如 果 S 盒 的 两 个 输入 前 2 位 不 同 ， 后 2 位 已 知 ， 则 其 输出 必 不 同 。 

。 对 于 输入 之 间 的 任何 非 零 的 6 位 差分 ，32 对 中 至 多 有 8 对 显示 出 的 差分 导致 了 相同 


的 输出 差分 。 

。 类 似 于 前 一 个 准则 ， 但 是 针对 三 个 有 效 的 S 盒 。 

P 盒 的 设计 准则 是 : 

。 在 第 ; 轮 S 盒 的 4 位 输出 中 ，2 位 将 影响 S 盒 第 ;十 1 轮 的 中 间 位 ， 其 余 2 位 将 影响 
最 后 位 。 


。 每 个 S 盒 的 4 位 输出 影响 6 个 不 同 的 S 盒 ， 但 没有 两 个 影响 同一 个 S 盒 。 
。 如 果 一 个 S 盒 的 4 位 输出 影响 另 一 个 S 盒 的 中 间 1 位 ， 那 么 后 一 个 输出 位 不 会 影响 
前 一 个 S 盒 的 中 间 1 fiz. 
本 书 将 继续 讨论 该 准则 。 在 今天 看 来 ， 产 生 S 盒 非 常 容易 ， 但 20 世纪 70 年 代 初 ， 这 是 
一 个 很 复杂 的 工作 。Tuchman 曾经 引述 说 ， 他 们 当时 将 计算 机 程序 运行 几 个 月 来 产生 S 盒 。 
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12.6 DES 的 各 种 变型 


12.6.1 多 重 DES 


某 些 DES 实现 采用 了 三 重 DES (WA 12-10), AA DES 不 是 一 个 群 ， 所 以 得 到 的 
密 文 更 难 用 穷 举 搜索 破译 : DES 需要 2 次 穷 举 ， 而 不 是 2* 次 。 详 细 描 述 见 15. 2 节 。 




















图 12-10 三 重 DES 


12. 6.2 使 用 独立 子 密 钥 的 DES 


男 一 个 DES 变型 是 每 轮 都 使 用 不 同 的 子 密 钥 ， 而 不 是 由 单个 的 56 位 密 钥 来 产生 。 
因为 16 轮 的 每 轮 都 需要 48 密 钥 位 ， 这 就 意味 着 这 种 变型 的 密 钥 长 度 为 768 位 。 这 种 变形 将 
极 大 地 增加 穷 举 攻击 算法 的 难度 。 这 种 攻击 的 复杂 性 将 达到 2° 。 

但 是 中 间 相 遇 攻 击 (参见 15. 1 节 ) 还 是 可 能 的 ， 攻 击 的 复杂 性 将 降低 到 2”， 这 对 任 
何 考 虑 到 的 安全 性 需求 来 说 还 是 足够 长 的 。 

尽管 独立 子 密 钥 对 线性 密码 分 析 不 敏感 ， 但 这 种 变型 对 差分 分 析 很 敏感 ， 而 且 可 以 用 
2 ”个 选择 明文 破译 〈 见 表 12-15)" ”3。 这 表明 对 密 钥 编排 的 改动 并 不 能 使 DES 变 得 更 
安全 。 


12.6.3 DESX 


DESX 是 RSA 数据 安全 公司 提出 的 DES 的 一 种 变型 。 自 1986 年 以 来 的 MailSafe 电子 
邮件 安全 程序 及 自 1987 以 来 的 BSAFE 工具 包 版 本 都 包含 了 DESX。DESX 采用 一 种 称 为 随 
机 化 的 技术 〈 见 15. 6 节 ) 来 掩盖 DES 的 输入 及 输出 。 除 了 有 DES 的 56 位 密 钥 外 ，DESX 
还 有 附加 的 64 位 随机 密 钥 。 这 64 位 随机 密 钥 在 DES 的 第 一 轮 之 前 与 明文 异 或 。 附 加 的 64 
位 密 钥 通过 一 个 单 向 函数 合成 为 120 位 的 DES 密 钥 ， 并 与 最 后 一 轮 输出 的 密 文 异 或 555 。 
DESX 的 随机 技术 使 它 比 DES 抗 穷 举 攻击 的 能 力 更 强 。 在 有 个 已 知 明文 的 情况 下 ， 对 
DESX 的 攻击 需要 做 (2”) /n 次 运算 。 同 时 ，DESX 的 随机 化 技术 也 提高 了 抗 线性 分 析 和 
差分 分 析 的 安全 能 力 ， 它 们 分 别 需 要 2 个 选择 明文 和 2” 个 已 知 明文 1331。 


12.6.4 CRYPT(3) 


CRYPT(3) 是 应 用 在 UNIX 系统 上 的 DES 变型 。 它 主要 用 作对 口令 的 单 向 函数 ， 有 时 
也 用 来 加 密 。CRYPT(3) 与 DES 的 区 别 在 于 CRYPT(3) 的 扩展 置换 是 与 密 钥 相关 的 ， 而 
HA 2 种 可 能 的 置换 。 这 样 做 的 原因 主要 是 为 了 使 DES 芯片 能 用 来 构造 硬件 的 口令 破译 。 
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12.6.5 GDES 


GDES (通用 DES) 是 为 了 提高 DES 的 速度 及 算法 的 强度 而 设计 的 3。 总 的 分 组 
长 度 增加 了 ,但 总 的 计算 量 保持 不 变 。 

图 12-11 是 GDES 的 分 组 框图 。 
GDES 对 不 同 长 度 的 明文 分 组 操作 ， 加 
密 分 组 被 分 成 gq 个 32 位 的 子 分 组 ， 子 分 
组 的 确切 数目 依赖 于 整个 分 组 的 长 度 
(在 这 个 设计 中 它 是 可 变 的， 但 在 实现 时 
都 必须 固定 )。 一 般 地 ，g 等 于 分 组 长 度 
除 以 32。 

函数 f 每 轮 在 最 右 端的 分 组 上 计算 
一 次 ， 其 结果 与 其 他 的 所 有 部 分 相 异 或 ， 
异 或 的 结果 再 循环 右 移 。GDES 的 轮 数 n 
是 变化 的 。 在 最 后 一 轮 稍 有 不 同 ， 使 得 
加 密 和 解密 过 程 仅 在 子 密 钥 的 次 序 上 有 
所 不 同 (就 像 DES 一 样 )。 事 实 上 ， 当 
q=2, n=16 时， 它 就 是 DES。 

Biham 和 Shamirt* 6 证明 ,使 用 
差分 分 析 破 译 gq=8 H n=16 的 GDES 仅 
需 6 个 选择 明文 。 如 果 使 用 独立 子 密 钥 ， 
它 也 只 需要 16 个 已 知 明文 ; g=8 H n= 
22 的 GDES 可 以 由 48 个 选择 明文 破译 ; 图 12-11 GDES 
ii g=8 H. n=31 的 GDES 也 仅 需 要 50 
万 个 选择 明文 就 能 破译 ; q=8 H n=64 的 GDES 需要 2” 个 已 知 明 文才 能 破译 ， 它 还 是 比 
DES 弱 。 事 实 上 ， 比 DES 快 的 任何 GDES 同时 也 就 比 它 不 安全 LK 12-15)。 

近来 也 出 现 了 GDES 设计 的 变型 55 。 它 可 能 比 原来 的 GDES 更 不 安全 。 通 常 ， 比 
DES 快 的 任何 大 的 DES 的 变型 同时 也 就 比 它 不 安全 。 






































12.6.6 HS BAN DES 


DES 的 其 他 一 些 改变 集中 在 S 盒 上 。 在 某 些 设计 中 ，S 盒 的 次 序 是 变化 的 。 还 有 些 设计 
得 使 S 盒 的 内 容 本 身 是 可 变 的 。Biham 和 Shamir 证 明 ，S 盒 的 设计 ， 甚 至 S 盒 自 身 的 内 容 
抗 差分 分 析 也 是 最 优 的 "7 


8 个 DES 的 S 金 次 序 的 改变 ARAE SAHA) 仍 使 得 DES 变 弱 许多 : S 
盒 为 某 一 特定 次 序 的 16 轮 DES 能 用 大 约 2 HRB re CZA, KAPSE 
的 DES 很 容易 破译 。 即 使 是 DES 的 一 个 S 盒 的 数字 最 小 的 改变 ， 也 会 导致 DES 
易于 破译 。 
DES 的 S 盒 抗 线性 分 析 不 是 最 优 的 。 可 能 存在 比 DES 的 S 盒 抗 线性 分 析 性 能 更 好 的 S 
盒 ， 但 盲目 地 选择 新 的 S 盒 并 不 是 一 个 好 主意 。 
表 12-15 列举 出 了 对 DES 的 一 些 改变 及 差分 分 析 攻 击 所 需要 的 选择 明文 数目 。 有 一 种 
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改变 未 被 列 人 表 中 ， 即 将 左 半 部 分 和 右 半 部 分 先 做 加 法 运算 ， 得 到 的 和 再 做 模 2' 运算 ， 而 
不 做 异 或 运算 ， 这 种 改变 后 的 DES 的 破译 比 以 前 困难 217 倍 [689] 


表 12-15 对 DES 变型 的 差分 攻击 





变型 运算 选择 明文 
完整 DES (无 变型 ) 247 
ne 不 能 变 强 
恒 等 置换 219 
改变 S 盒 顺序 938 
JAY Han 7 BR R 239, 931 
S: 
随机 218 ~ 920 
随机 置换 233 ~ 241 
改变 一 项 933 
均匀 表 226 
去 掉 下 扩散 226 
改变 E 和 子 密码 异 或 的 次 序 244 
GDES (q=8) 
16 轮 6、16 
Bt 24 (独立 密 钥 ) 
12.6.7 RDES 


RDES 是 在 每 一 轮 结束 时 用 相关 密 钥 交换 取代 左 、 右 两 部 分 交换 的 一 种 变型 。 这 种 
交换 是 固定 的 ， 只 依赖 于 密 钥 。 这 意味 着 ，15 个 相关 密 钥 的 交换 可 产生 2” 个 可 能 的 样 例 。 
RDES 有 大 量 的 弱 密 钥 ， 故 对 差分 分 析 没 有 抵抗 性 5 2。 事实 上 ， 几 乎 所 有 的 RDES 密 
钥 都 弱 于 典型 的 DES 密 钥 ， 所 以 这 种 变型 不 应 被 采用 。 

更 好 的 一 种 想法 是 在 每 一 轮 的 开始 ， 仅 对 右 半 部 分 进行 交换 。 另 一 种 好 的 思路 是 使 交换 
依赖 于 输入 数据 ， 而 不 是 一 个 密 钥 的 静态 函数 。 文 献 [813、815] 中 介绍 了 RDES 变型 : 
RDES-1， 在 每 一 轮 的 开始 ， 对 16 位 的 字 进 行 相关 数据 交换 ; RDES-2， 在 每 一 轮 开 始 ， 经 
过 类 似 RDES-1 中 16 位 的 字 相 关 数 据 交 换 后 ， 再 进行 字 节 交换 ; 以 此 类 推 ， 直到 RDES-4。 
RDES-1 是 抗 线性 和 差分 分 析 的 ， 故 可 推测 RDES-2 及 更 高 阶 也 如 此 。 


12.6.8 s"DES 


由 Kwangjo Kim 领导 的 韩国 研究 小 组 ， 曾 经 尝试 寻找 一 组 S 盒 ， 使 它 更 具有 抗 线性 和 
差分 分 析 的 最 优 性 能 。 他 们 首先 探索 了 称 为 DES 的 方法 , 文献 [834] 中 有 这 方面 的 介 
绍 。 已 证 明 这 种 方法 产生 的 S 盒 在 抗 差 分 分 析 方 面 比 原 DES 更 差 “5 4。 他 们 探索 下 一 个 
称 为 s$ DES 的 方法 , 文献 [839] 中 有 介绍 ， 这 种 方法 在 抗 线性 分 析 方 面 也 比 原 DES 
差 91.1527.858.838] | Biham 建议 做 一 个 小 的 改动 ， 使 s DES 既 抗 线性 分 析 ， 又 抗 差分 分 
析 5s  。 韩 国 研究 小 组 又 开始 研究 性 能 更 好 的 S AAR, Ai T st DES, EH 
了 ss DES! 。 

K 12-16 给 出 了 s’ DES 的 S 盒 的 逆序 S 盒 1 和 S 盒 2， 这 种 SSDES 的 S 盒 既 抗 线性 分 析 
又 抗 差分 分 析 。 把 这 样 的 S 盒 用 在 3 E DES 中 就 可 保证 使 密码 分 析 变 得 更 加 困难 。 
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sSDESH SH (包括 逆序 S 盒 1 和 S 盒 2) 


S@1: 
13 14 
8 2 
14 9 
1 4 
S#2 
15 8 
6 15 
9 14 
10 5 
S# 3 
13 3 
4 13 
6 5 
1 11 
S4: 
9 0 
5 10 
10 T 
3 9 
S 盒 5: 
5 15 
6 9 
15 0 
12 5 
S#6: 
4 3 
14 13 
13 0 
1 7 
S87: 
4 10 
10 15 
2 12 
12 6 
S88: 
13 10 
2 7 
4 13 
8 11 


11 


14 


12 


15 


13 
14 


10 
l5 


表 12-16 
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12 


12 
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10 
15 
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13 


14 


10 


13 
10 


12 


11 


15 
12 


13 


14 


11 
13 


14 
13 


12 
T4 


12 


10 
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12.6.9 使 用 相关 密 钥 S BH DES 

无 论 线性 分 析 或 差分 分 析 都 仅 在 已 知 S 盒 结 构 的 情况 下 有 效 。 如 果 S 盒 与 密 钥 有 关 ， 且 
是 通过 强 密码 方法 选择 构成 的 ， 那 么 线性 分 析 或 差分 分 析 将 更 困难 。 记 住 ， 随 机 产生 的 S 盒 
的 差分 及 线性 特征 都 很 弱 ， 即 使 S 盒 是 保密 的 。 

下 面 介绍 用 48 位 的 附加 密 钥 产 生 S 盒 的 方法 ， 该 方法 产生 的 S 盒 既 抗 线性 分 析 ， 又 搞 
ASAP BT 。 

(1) HE DES 的 S 盒 的 次 序 : 24673158, 

(2) 从 48 密 钥 位 中 选 出 16 位 。 在 这 16 位 中 ， 如 第 一 位 为 1， 将 DES 的 第 一 个 S 盒 的 
前 两 行 与 后 两 行 交 换 。 如 第 二 位 为 1， 将 DES 的 第 一 个 S 盒 的 前 8 列 与 后 8 列 交换 。 根 据 第 
3 位、 第 4 位 的 取 值 ， 按 上 述 方法 处 理 DES 的 第 二 个 S 盒 。 并 以 此 类 推 处 理 DES 的 第 3-~ 
第 8 个 S 盒 。 

(3) 取出 剩余 的 32 位 。 前 4 位 异 或 DES 的 第 一 个 S 盒 的 每 一 项 ， 第 二 个 4 位 异 或 DES 
的 第 二 个 S 盒 的 每 一 项 ， 以 此 类 推 处 理 所 有 DES H SA. 

攻击 这 种 系统 的 复杂 性 ， 差 分 分 析 是 2* 、 线 性 分 析 是 2”、 穷 举 搜索 法 是 2”, 

这 种 DES 变型 能 用 现 有 的 硬件 实现 。 有 些 DES 芯片 商 出 售 的 DES 芯片 可 加 载 S &. 
这 就 使 得 S 盒 的 产生 可 在 片 外 进行 ， 然 后 再 把 它 加 载 到 芯片 内 。 差 分 分 析 和 线性 分 析 都 需要 
很 多 已 知 明文 或 选择 明文 ， 否 则 对 DES 不 能 攻击 ， 而 穷 举 攻击 的 时 间 复 杂 性 是 不 可 思议 的 。 





12.7 DES 现今 的 安全 性 


这 个 问题 回答 起 来 既 容 易 又 困难 。 如 果 仅 考察 密 钥 长 度 ( 见 7.1 节 )， 则 容易 回答 。 
1993 年 ， 仅 花费 100 万 美元 建造 的 穷 举 DES Be BL) EY 3.5 小 时 就 能 找到 一 个 密 
钥 。DES 的 应 用 如 此 广泛 ， 所 以 要 想 阻止 NSA 和 他 的 伙伴 不 制造 穷 举 DES 破译 机 真是 太 
天 真 了 。 请 记 住 ， 这 种 机 器 的 造价 以 每 10 年 下 跌 20%% 的 速度 下 降 。 随 着 时 间 的 推移 ，DES 
只 会 更 加 不 安全 。 

密码 分 析 技 术 的 评估 是 比较 难 的 。20 世纪 70 年 代 中 期 以 前 ， 当 DES 第 一 次 成 为 标准 
时 ，NSA 就 掌握 了 差分 分 析 技 术 。NSA 的 理论 家 自 那 以 后 就 无 所 事 事 。 这 自然 是 不 可 能 
的 ， 几 乎 可 以 肯定 ， 他 们 研究 出 了 新 的 密码 分 析 技 术 ， 并且 这 种 新 技术 可 用 来 攻击 DES. 
但 没有 证 据 ， 只 能 作为 传闻 。 

Winn Schwartau 曾 说 过 ，NSA 早 在 20 世纪 80 年 代 中 期 就 建造 了 一 台 巨 大 的 并 行 工作 
的 DES 破译 机 "1 。 最 终 ，Harris 公司 用 Cray Y-MP 作为 前 端 ， 建 造 了 这 样 一 台 机 器 。 假 
设 有 一 组 算法 可 将 DES 穷 举 搜索 的 复杂 性 减 小 几 个 数量 级 。 基 于 DES 内 部 工作 方式 的 上 下 
文 算法 ， 将 可 能 的 密 钥 分 成 小 的 密 钥 集 ， 再 进行 每 个 密 钥 集 的 部 分 处 理 。 统 计算 法 减 小 了 有 
效 密 钥 的 大 小 。 另 外 的 算法 选择 可 能 的 密 钥 〈 字 、 可 和 输出 的 ASCII 码 等 〈 见 8.1 节 )) 来 测 
试 。 有 传闻 说 ，NSA 能 在 3 一 5 分 钟 内 破译 DES， 具 体 的 时 间 依 赖 于 他 们 采用 了 多 大 的 数据 
处 理 量 ， 而 且 这 种 机 器 每 台 仅 花费 5 万 美元 。 

另 一 种 传闻 说 ， 如 果 NSA 掌握 了 大 量 的 明文 和 密 文 ，NSA 专家 就 可 以 通过 某 类 统计 计 
算 ， 将 结果 输出 到 光盘 ， 从 而 得 到 密 钥 。 
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这 些 仅仅 是 传闻 ， 它 们 并 不 能 使 我 对 DES 感到 担心 。 这 只 是 一 个 长 时 间 研 究 的 大 目标 。 
DES 的 任何 一 次 改动 几乎 都 更 恼人 。 也 许 合成 密 钥 更 易于 被 破译 ,但 NSA 可 能 没有 致力 于 
这 方面 的 研究 投入 。 

我 推荐 采用 Biham 的 相关 密 钥 的 构造 方法 产生 S 盒 。 这 种 方法 易于 软件 实现 ， 而 且 它 
的 硬件 芯片 的 S 盒 可 装载 ， 性 能 超过 了 DES， 同 时 还 增强 了 DES 算法 抗 穷 举 攻击 的 能 力 ， 
使 差分 分 析 和 线性 分 析 攻 击 都 更 困难 ， 并 且 至 少 给 NSA 制造 了 一 些 有 比 DES 更 强 算法 的 
担忧 。 
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13.1 Lucifer 算法 


20 世纪 60 年 代 末 期 ， 在 Horst Feistel 和 后 来 的 Walt Tuchman 的 倡导 下 ，IBM 开始 把 
这 个 称 为 Lucifer 的 研究 成 果 用 在 计算 机 密码 学 中 。Lucifer 这 个 名 字 还 用 于 表示 20 世纪 70 
年 代 早 期 设计 的 分 组 密码 算法 "2 。 事 实 上 至 少 有 两 个 不 同 的 算法 用 了 这 个 名 字 55485 ， 
同时 文献 1552] 在 该 算法 的 一 些 解释 中 也 留 下 了 一 些 空 白 。 所 有 这 些 引 起 了 一 些 混淆 。 

Lucifer 是 一 个 包含 类 似 DES 构造 模块 的 代替 -置换 网 络 。 在 DES 中 ， 函 数 三 的 输出 与 
前 一 轮 输 入 异 或 后 ， 作 为 下 一 轮 的 输入 。Lucifer 的 S 盒 有 4 位 输入 、4 位 输出 ，S 盒 的 输入 
是 前 一 轮 S 盒 输出 的 位 置换 ，S 盒 的 第 一 轮 输 入 是 明文 。 密 钥 位 用 于 从 两 个 可 能 的 S 盒 中 选 
出 实际 使 用 的 S 盒 。(Lucifer 可 看 成 一 个 9 位 输入 及 8 位 输出 的 工 盒 .) 与 DES 不同 的 是 ， 
在 两 轮 之 间 没 有 交换 而 且 不 使 用 半 个 分 组 。Lucifer 有 16 轮 、128 位 的 分 组 ， 且 密 钥 编制 算 
法 比 DES 简单 。 

Biham 和 Shamir 指出 ， 用 差分 密码 分 析 技 术 攻 击 具 有 32 位 分 组 和 8 轮 的 第 一 种 形式 的 
Lucifer， 只 需要 用 40 个 选择 明文 和 2” 步 即 可 破译 。 同 样 可 用 60 个 选择 明文 和 2” 步 破译 
128 位 分 组 和 8 轮 的 Lucifer。 采 用 另 一 种 形式 的 差分 密码 分 析 攻 击 用 24 个 选择 明文 可 在 22 
步 内 破译 18 轮 和 128 位 的 Lucifer。 所 有 的 这 些 攻击 都 使 用 了 DES 强 S 盒 。 用 差分 密码 分 析 
技术 攻击 Lucifer 的 第 二 种 形式 ， 他 们 发 现 S 盒 比 DES 弱 得 多 。 进 一 步 的 密码 分 析 表 明 : 可 
能 超过 一 半 的 密 钥 是 不 安全 的 所。 相关 密 钥 密码 分 析 用 2” 个 选择 密 钥 选择 明文 或 2” 个 选 
择 密 钥 已 知 明 文 可 破译 任何 轮 数 的 128 位 分 组 的 Lucifer! , Lucifer 的 第 二 种 形式 更 不 
安全 [7o.02.03 。 

有 些 人 认为 Lucifer 比 DES 更 安全 ， 因 为 有 更 长 的 密 钥 和 缺乏 公开 的 结果 ， 显 然 结果 不 
是 这 样 。 

Lucifer 拥有 多 个 美国 专利 5 PO), A AB BH 


13.2 Madryga 算法 

W. E. Madryga 于 1984 年 提出 这 个 分 组 算法 。 对 软件 实现 而 言 ， 它 很 有 效 : 没有 烦人 
的 置换 运算 ， 所 有 运算 都 基于 字 节 。 

他 的 设计 目标 为 : 

(1) 如 果 不 用 密 钥 ,将 不 能 从 密 文中 推出 明文 (这 就 意味 着 算法 是 安全 的 )。 

(2) 从 一 个 明文 和 密 文 的 数据 中 确定 密 钥 所 需要 的 运算 次 数 从 统计 上 应 该 等 于 加 密 中 的 
运算 与 可 能 密 钥 数 的 乘积 (这 意味 着 不 会 有 比 穷 举 攻击 更 好 的 明文 攻击 )。 

(3) 对 算法 的 了 解 不 应 使 密码 的 强度 降低 。( 所 有 的 安全 性 应 依赖 密 钥 。) 

(4) 在 相同 明文 中 密 钥 一 位 的 变化 应 引起 密 文 的 根本 变化 ， 在 相同 密 钥 中 明文 一 位 的 变 
化 应 引起 密 文 的 根本 变化 (这 叫做 雪崩 效 应 )。 

(5) 这 个 算法 应 包含 一 个 不 可 交换 的 代替 与 置换 组 合 。 

(6) 这 个 算法 应 该 包括 在 输入 数据 和 密 钥 控制 下 的 代 蔡 和 置换 。 
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(7) 明文 中 的 宛 余 位 组 在 密 文中 应 该 全 部 被 掩盖 。 

(8) 密 文 长 度 应 该 与 明文 长 度 相 同 。 

(9) 在 任何 可 能 的 密 钥 和 密 文 之 间 ， 不 应 该 有 简单 的 关系 。 

(10) 任何 一 个 可 能 密 钥 将 产生 一 个 强 密码 〈 不 应 该 有 弱 密 钥 ) 。 

(11) 为 了 满足 各 种 应 用 ， 密 钥 和 文本 长 度 应 该 是 可 调 的 。 

(12) 算法 在 大 型 机 、 小 型 机 、 微 型 机 以 及 其 他 离散 逻辑 设备 上 能 以 软件 的 形式 有 效 地 
实现 。( 事 实 上 ， 算 法 中 所 用 到 的 运算 仅 限 于 异 或 和 移 位 。) 

DES 满足 第 (1)~(9) 条 ， 而 后 面 3 条 是 新 的 。 假 定 破 译 该 密码 算法 最 好 的 方法 是 穷 
举 攻击 ， 一 个 可 变 长 度 的 密 钥 将 完全 能 使 那些 认为 56 位 太 低 的 人 哑 口 无 言 。 他 们 能 够 使 用 
期 望 的 任意 长 度 的 密 钥 来 实现 这 个 算法 。 而 且 ， 对 那些 企图 在 软件 中 使 用 DES 的 人 而 言 ， 
此 算法 把 软件 的 应 用 考虑 进去 将 是 受 欢 迎 的 。 


13.2.1 Madryga 的 描述 


Madryga 包括 两 层 仍 套 循 环 。 外 层 循环 8 次 (如 果 安 全 性 需要 ， 这 个 次 数 可 增加 )， 而 
且 包 括 一 个 对 明文 的 内 层 循环 的 应 用 。 内 层 循环 将 明文 转换 成 密 文 ， 并 且 对 明文 的 每 8 位 分 
A CFP) 就 重复 运行 一 次 。 因 此 ， 这 个 算法 经 过 连续 8 次 运算 就 可 将 全 部 明文 处 理 完 。 

一 个 在 3 字 节 的 数据 窗口 上 运行 的 内 层 迭 代 ， 称 为 工作 框架 ( 见 图 13-1)。 每 次 迭代 窗 
口 前 进 1 个 字 节 ( 当 人 处 理 最 后 两 个 字 节 时 ， 认 为 数据 是 循环 的 )。 最 后 一 个 字 节 与 某 些 密 钥 
位 异 或 ， 同 时 工作 框架 的 头 2 个 字 节 一 起 环 移 不 定数 目的 位 移 。 当 这 个 工作 框架 向 前 移动 
时 ， 所 有 的 字 节 都 连续 环 移 ， 且 与 密 钥 进行 异 或 运算 。 连 续 的 环 移 与 前 面 的 异 或 和 环 移 的 结 
果 相 互 秋 加 ， 蜡 或 后 的 数据 用 于 对 环 移 产生 影响 ， 这 使 得 整个 处 理 过 程 是 可 逆 的 。 


明文 ”|1|2|3|4|s|6| | 明文 长 度 -2 | 明文 长 度 -] 明文 长 度 | 














| 
移动 的 工 


密 钥 








| 
| 异 或 | 
saa | 1 2|3 | feed 
13-1 Madryga 的 一 次 迭代 


因为 数据 的 每 一 个 字 节 都 影响 它 左 边 的 2 个 字 节 和 右边 的 1 个 字 节 ， 因 此 ， 在 经 过 8 轮 
迭代 后 ， 密 文 的 每 一 个 字 节 都 与 其 右边 的 16 个 字 节 和 左边 的 8 个 字 节 相关 。 

加 密 时 ， 内 层 循环 的 每 次 迭代 工作 框架 从 明文 的 倒数 第 2 个 字 节 开 始 ， 然 后 前 进 到 明文 
倒数 第 3 个 字 节 。 首 先 ， 整 个 密 钥 与 一 个 随机 常数 异 或 ， 然 后 向 左 环 移 3 位 。 工 作 框架 低 字 
节 的 低 3 位 被 存储 下 来 ， 它 们 将 控制 其 他 2 SEB. Ra. PERI H 
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的 低 字 节 异 或 。 下 一 步 ， 两 个 较 高 字 节 被 一 起 向 左 环 移 不 定 的 数目 (0 一 7)。 最 后 ， 工 作 杠 
RAB 1 个 字 节 ， 然 后 重复 整个 处 理 过 程 。 

随机 常数 的 目的 是 将 密 钥 都 转换 为 伪 随 机 序列 。 此 常数 的 长 度 必 须 与 密 钥 长 度 相 等 ， 且 
对 和 希望 相互 间 通 信 的 人 来 说 ， 此 常数 必须 是 一 样 的 。 对 于 64 位 密 钥 ，Madrgga 建议 的 常数 
是 0x0fle2d3c4b5a6978 。 

解密 是 加 密 处 理 的 逆 过 程 。 内 层 循 环 的 每 一 次 迭代 使 工作 框架 从 密 文 的 倒数 第 3 个 字 节 
开始 ， 首 方向 前 进 到 密 文 的 倒数 第 2 个 字 节 。 密 钥 和 2 个 密 文字 节 都 向 右 移动 ， 在 循环 前 先 
进行 异 或 运算 。 


13.2.2 Madryga 的 密码 分 析 


昆士兰 技术 大 学 的 研究 者 对 Madryga 进行 了 测试 "4 ， 并 将 它 与 其 他 几 个 分 组 密码 进行 
比较 。 他 们 发 现 该 算法 没有 体现 明文 和 密 文 间 的 雪 骨 效应。 另外， 在 许多 密 文中 1 的 百分比 
比 0 的 百分比 高 。 

虽然 我 不 知道 这 个 算法 的 正式 分 析 结果 ， 但 它 看 起 来 是 极其 不 安全 的 。Eli Biham 粗略 
地 总 结 了 下 列 一 些 结果 ， 


这 个 算法 仅 包括 线性 运算 〈 环 移 和 异 或 )， 它 们 对 数据 的 修改 是 很 弱 的 。 

这 里 没有 使 用 像 DES 的 S 盒 那样 强 的 东西 。 

明文 和 密 文 所 有 位 的 奇偶 性 是 常数 ， 只 与 密 铀 有 关 。 因 此 ， 如 果 你 有 一 个 明文 
和 与 之 对 应 的 密 文 ， 你 就 能 预测 任何 明文 的 密 文 奇偶 。 


这 不 是 对 这 个 算法 本 身 的 指责 ， 但 它 使 我 对 这 个 算法 印象 不 佳 ， 我 不 推荐 Madryga。 
13.3 NewDES 算法 


NewDES 是 Robert Scott F 1985 年 设计 的 一 种 DES 的 替换 算法 "5 0 。 像 该 算法 的 名 
字 所 暗 指 的 ， 该 算法 不 是 DES 的 变型 。 它 基于 64 位 的 明文 分 组 ,但 具有 120 位 密 钥 。 它 比 
DES 简单 ， 没 有 初始 或 未 置换 ， 所 有 的 运算 都 针对 完整 的 字 节 。( 实 际 上 ，NewDES 与 DES 
的 新 类 型 没有 任何 关系 ， 该 算法 的 名 字 是 不 幸 的 。) 

明文 分 组 被 分 成 8 个 单字 节 长 的 子 分 组 : Bu Bio wo Bo Bro Aja RE Ta HR 
行 17 轮 运算 ,每 一 轮 有 8 步 。 在 每 一 步 中 ， 子 分 组 中 的 一 个 与 某 个 密 钥 异 或 (只 有 一 个 例 
外 )， 然 后 通过 三 函数 输出 代替 字 节 ， 接 着 与 另 一 个 子 分 组 异 或 并 产生 子 分 组 。120 位 的 密 
钥 分 成 15 个 密 钥 子 分 组 : Kos Kin 0, Kus Ku. tA am KT EIR pat 
程 要 容易 些 。 图 13-2 给 出 了 NewDES 加 密 算法 。 

了 函数 可 从 相关 的 解释 中 得 到 ， 详 见 [1405], 

Scott 指出 ， 明 文 分 组 的 每 一 位 仅 在 第 7 轮 以 后 才 会 对 密 文 分 组 的 每 一 位 产生 影响 。 他 
也 分 析 了 f 函数 ， 发 现 没 有 明显 的 问题 。NewDES 45 DES 一 样 具 有 相同 的 互补 性 质 !s9 
如 果 Ex(P)=C, BBA Ex CP' )=C' 。 这 使 得 穷 举 攻击 所 需要 的 工作 量 从 2* 步 降 到 21 
Biham 注意 到 ， 作 用 于 所 有 密 钥 字 节 和 数据 字 节 的 整个 字 节 的 任何 变化 ， 将 导致 另 一 个 互补 
问题 ns 。 这 将 使 穷 举 攻击 的 工作 量 进一步 降 到 2" 

这 并 非 对 NewDES 的 指责 ， 但 Biham 的 相关 密 钥 密码 分 析 攻 击 能 够 利用 2 个 选择 密 钥 
选择 明文 在 2” 步 内 破译 NewDESb% 4 。 虽 然 这 个 攻击 很 费时 且 基 本 上 是 理论 上 的 ， 但 它 表 明 
NewDES 比 原来 的 DES HS. 
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BO Bi B2 B3 B4 BS B6 BT 


图 13-2 NewDES 算法 


13.4 FEAL 算法 


FEAL 由 日 本 电报 电话 公司 的 Akihiro Shimizu 和 Shoji Miyaguchi 设计 ， 它 使 用 了 64 
位 分 组 和 64 位 密 钥 。 它 的 想法 是 设计 一 个 类 似 于 DES 但 比 DES 的 轮 函数 更 强 的 算法 。 因 
为 所 需要 的 轮 数 更 小 ， 所 以 这 个 算法 运行 得 较 快 。 不 幸 的 是 ， 该 算法 的 实际 情况 远 没 有 达到 
它 的 设计 目标 。 


13.4.1 FEAL 的 描述 


图 13-3 是 FEAL 算法 的 框图 ， 其 加 密 过 程 由 一 个 64 位 的 明文 分 组 开始 。 首 先 ， 这 个 
明文 分 组 与 64 位 的 密 钥 异 或 ， 然 后 数据 分 组 被 分 成 左 半 部 分 和 右 半 部 分 。 左 半 部 分 与 右 
半 部 分 异 或 构成 新 的 右 半 部 分 ， 左 半 部 分 和 新 的 右 半 部 分 运行 n 轮 (最 初 是 4 轮 )。 在 每 
一 轮 中 ， 右 半 部 分 与 16 位 密 钥 混 合 (用 函数 f) ， 然 后 与 左 半 部 分 异 或 ， 从 而 构成 新 的 右 
半 部 分 。 原 来 的 右 半 部 分 〈 这 轮 之 前 的 ) 构成 新 的 左 半 部 分 。 在 n 轮 之 后 ( 记 住 在 Bz 
后 ， 不 要 把 左 、 右 部 分 相交 换 )， 左 半 部 分 再 次 与 右 半 部 分 异 或 构成 新 的 右 半 部 分 ， 然 后 
左 、 右 部 分 连接 起 来 构成 64 位 。 这 个 数据 分 组 与 密 钥 的 另外 64 位 异 或 ， 算 法 结束 。 
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64 位 (K8,K9,K10,K11) 
64 位 {(K12,K13,K14,K15) } 
32 位 32 位 


LO{R8} -中 RO{L8} 
KO{KT} 


LO{R8} che fy BUS) 





















































ES 
Bue ae ae K1{K6} 
L1{R7} 中 F M R1 {L7} 
aS SS E K7{KO} 
L7{R1} f T gU 
R8{L0} | L8{RO} 
64 位 (K12,K13,K14,K15) 
{ (K8,K9,K10,K11) } 
{}: 解密 
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函数 了 将 数据 的 32 位 和 密 钥 的 16 位 混合 在 一 起 。 首 先 将 这 个 数据 分 组 分 成 8 位 的 分 


组 ， 然 后 这 些 分 组 相互 异 或 和 替换 。 图 13-4 是 函数 了 的 框图 。 其 中 函数 S。 和 S' 定义 为 : 


Su(aypo) 王 把 (十 bo)mod 256 向 左 环 移 2 位 
Sila,b)= 二 把 (4 十 6 十 1))mod 256 向 左 环 移 2 位 


























图 13-4 函数 了 


解密 采用 相同 的 算法 ， 唯 一 的 区 别 是 解密 时 密 钥 需要 用 疼 序 。 


图 13-5 是 密 钥 生成 函数 的 框图 。 首 先 ， 将 64 位 密 钥 分 成 两 部 分 ， 这 两 部 分 异 或 ， 并 通 
过 图 中 的 函数 f 进行 运算 。 图 13-6 是 函数 fi 的 框图 。 将 两 个 32 位 的 输入 分 成 8 位 的 分 
组 ， 然 后 进行 混合 和 代替 。S。 和 Si 在 前 面 已 经 定义 。 而 后 ，16 位 密 钥 分 组 就 可 用 于 加 密 / 


解密 算法 中 。 


在 10MHz 的 80286 微 处 理 器 上 ， 用 汇编 语言 实现 的 FEAL-32 程序 能 够 以 220Kb/s 的 


速度 加 密 数据 ，FEAL-64 能 够 以 120Kb/s 的 速度 加 密 数 据 "9 。 
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(Kus Kis) 


a 32 位 























| 32 位 qa,b1:8 位 
Tk (a,b) 


Y=S, (X, X,)=Rot2 ((X,+X,) mod 256) 
Y=S, (X, X,)=Rot2 (CX,+X,+1 mod 256) 
Ysi, X.X, B :输入 ， 

Rot2 (7 了 ): 将 8 位 的 数据 7 向 左 环 移 2 位 


13-6 函数 fe 


13.4.2 FEAL 的 密码 分 析 

具有 4 轮 运算 的 FEAL 叫做 FEAL-4， 在 文献 C201] 中 用 选择 明文 攻击 方法 对 它 进行 
了 成 功 的 密码 分 析 ， 随 后 在 文献 [1132] 中 它 被 攻破 。 后 者 由 Sean Murphy 完成 ， 他 采用 
了 差分 密码 分 析 且 仅 需 要 20 个 选择 明文 。 设 计 者 用 8 轮 FEAL (FEAL-8) 予以 还 
Glee 497-8) ，Biham 和 Shamir 曾 在 SECURICOM’ 89 AWU.. 上 宣布 了 该 算法 的 密码 分 
析 。 另 一 个 针对 FEAL-81 W, ARAT 1 万 个 明文 分 组 的 选择 明文 攻击 使 其 设计 者 不 得 
不 认输 ， 并 重新 定义 了 使 用 可 变 轮 数 的 FEAL-Nb"2 0 (N 当然 要 大 于 8) 。 
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Biham 和 Shamir 对 FEAL-N 使 用 了 差分 密码 分 析 技 术 后 发 现 ， 对 少 于 32 轮 的 算法 版 
本 ， 差 分 分 析 比 穷 举 搜索 更 快 (用 了 不 到 2 个 选择 明文 )5%] 。 破 译 FEAL-16 需要 2” 个 选 
择 明 文 或 2 个 已 知 明文 ; 破译 FEAL-8 需要 2000 个 选择 明文 或 2”5 个 已 知 明 文 ; 破译 
FEAL-4 仅 用 8 个 仔细 选择 的 选择 明文 就 可 破译 。 

FEAL 的 设计 者 也 定义 了 FEAL 的 改进 型 一 -FEAL-NX， 它 有 128 位 的 密 钥 〈 见 
图 13-7)023209 。Biham 和 Shamir 指出 ,不 论 N 取 什 么 值 ，128 位 密 钥 的 FEAL-NX 与 
64 位 密 钥 的 FFAL-N 一 样 容易 遭 到 破译 "sj 。 最 近 又 提出 了 一 个 具有 动态 交换 函数 的 增强 
FEAL }ig FFAL-N(X)SU55) 。 


密 钥 分 组 (Ki lK: 128 位 ) 
奇偶 校 验 过 程 $ 





(Ky K,) 


(Ky K;) 





(Ky Kg) 


(Kyy Kyss) 








(Kre Ku) 
Ky c) B, (16 位 ) 的 左 半 部 分 Oh ke wel, 4, 7.. 
K, cory mB, (16 位 ) 的 右 半 部 分 OR, ng B 
和 迭代 次 数 为 《NM27+4 O-Kp» r=3, 6, 9 


图 13-7 FEAL-NX 密 钥 编制 


还 有 更 多 的 攻击 ， 在 文献 [1520] 中 公布 的 另 一 种 攻击 方法 对 FFAL-4 仅 需 要 1000 个 
已 知 明文 ， 对 FEAL-8 仅 需 2 万 个 已 知 明文 。 在 文献 [1549、1550] 中 还 有 其 他 攻击 方法 。 
最 好 的 攻击 方法 是 Mitsuru Matsui 和 Atshuiro Yamagishi 提出 的 "中 ， 该 方法 是 线性 密码 分 
析 的 首次 使 用 ， 只 需要 5 个 已 知 明文 即 可 攻破 FEAL-4， 只 需要 100 个 已 知 明文 即 可 攻破 
FEAL-6， 只 需要 2 个 已 知 明 文 即 可 攻破 FEAL-8。 更 好 的 攻击 方法 是 在 文献 [64] 中 ， 差 
分 线性 分 析 仅 需要 12 个 选择 明文 即 可 攻破 FEAL-8[65 。 无 论 何 时 只 要 某 人 提出 了 新 的 分 析 
方法 ， 他 似乎 总 是 先 来 攻击 FEAL。 
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13.4.3 专利 


FEAL 在 美国 得 到 了 专利 ”4 ， 而 在 英国 、 法 国 和 德国 ， 其 专利 仍 悬 而 未 决 。 和 希望 获取 
此 算法 许可 权 的 任何 人 都 可 与 以 下 地 址 联系 : Intellectual Property Department, NTT, 1-6 
Uchisaiwai-cho, l-chome, Chiyada-ku, 100 Japan. 


13.5 REDOC 算法 


REDOC J| fH Michael Wood 为 Cryptech 公司 设计 的 另 一 个 分 组 算法 683 1 。 它 包含 
20 字 节 (160 fiz) WHA 80 位 明文 分 组 。 

REDOC [| 所 有 的 运算 〈 置 换 、 代 替 和 密 钥 异 或 ) 都 基于 字 节 。 该 算法 可 有 效 地 用 软件 
实现 。REDOCI 使 用 可 变 函 数 表 ， 不 像 DES 那样 ， 使 用 固定 的 〈 尽 管 由 于 安全 性 的 因素 ， 
经 过 了 优化 ) 置换 和 代替 函数 表 ，REDOCI 使 用 依赖 于 密 钥 和 明文 的 表 〈 实 际 上 是 S 盒 ) 。 
REDOC h 10 个 加 密 轮 组 成 ， 每 一 轮 都 对 分 组 进行 复杂 的 运算 。 

在 这 个 设计 中 ， 另 一 个 独特 的 特性 是 掩 码 (mask) 的 使 用 。 从 密 钥 表 中 获得 的 数 用 来 
为 给 定 轮 的 给 定 函 数 选择 表 (S 盒 ) 。 数 据 值 和 掩 码 一 起 用 来 选择 函数 表 。 

如 果 假 定 穷 举 攻击 是 最 有 效 的 攻击 方法 ， 那么 REDOCI[ 是 非常 安全 的 。 如 果 想 获取 密 
HH, WAR 2 次 运算 。Thomas Cusick 对 REDOC I 的 一 轮 进行 了 密码 分 析 ， 但 他 不 能 将 
这 种 攻击 推广 到 多 轮 上 。Biham 和 Shamir 采用 差分 分 析 利 用 2300 个 选择 明文 能 成 功 地 
X} REDOC I 的 一 轮 进行 密码 分 析 """ ， 这 种 攻击 也 不 能 扩展 到 多 轮 上 ， 但 可 获得 4 轮 后 的 3 
个 掩 码 值 ， 我 还 不 知道 有 其 他 攻击 。 


13.5.1 REDOC III 


REDOC 本 是 由 Michael Wood 设计 的 REDOCI a #4 fai RRA! =. EE 80 位 分 组 上 
进行 运算 ， 密 钥 长 度 是 可 变 的 ， 且 能 够 增 大 到 2560 字 节 (20 480 位 ) 。 这 个 算法 只 包含 消息 
字 节 和 密 钥 字 节 间 的 异 或 运算 ， 没 有 置换 或 代替 。 

(1) 用 秘密 密 钥 产 生 具 有 256 个 10 字 节 密 钥 的 密 钥 表 。 

(2) 产生 两 个 10 字 节 的 掩 码 分 组 : M 和 M,, M, 是 前 128 个 10 字 节 密 钥 的 蜡 或 ; M， 
是 后 128 个 10 字 节 密 钥 的 异 或 。 

(3) 加 密 10 字 节 分 组 : 

(a) 数据 分 组 的 第 一 个 字 节 与 M 的 第 一 个 字 节 异 或 。 从 第 (1) 步 中 计算 出 的 密 钥 表 
中 选择 一 个 密 钥 ， 使 用 计算 出 的 异 或 值 作为 该 选择 密 钥 的 地 址 。 除 了 第 一 个 字 节 外 ， 将 数据 
分 组 中 的 每 一 个 字 节 与 所 选 密 钥 对 应 的 字 节 进行 异 或 运算 。 

(b) 数据 分 组 的 第 二 个 字 节 与 M 的 第 二 个 字 节 蜡 或 。 从 第 (1) 步 中 计算 出 的 密 钥 表 
中 选择 一 个 密 钥 ， 使 用 计算 出 的 异 或 值 作为 该 选择 密 钥 的 地 址 。 除 了 第 二 个 字 节 外 ， 将 数据 
分 组 中 的 每 一 个 字 节 与 所 选 密 钥 对 应 的 字 节 进行 异 或 运算 。 

(c) 继续 对 整个 数据 分 组 进行 运算 〈 字 节 3 一 10) ， 直 到 每 一 个 字 节 都 已 在 与 对 应 的 Mi 
值 异 或 后 ， 用 于 从 密 钥 表 中 选择 一 个 密 钥 ， 然 后 将 除了 用 于 选择 密 钥 的 字 节 外 的 每 一 字 节 与 
密 钥 的 每 一 字 节 进行 异 或 。 

(d) FAM, 重复 (a) ~ (Cc), 

这 个 算法 容易 实现 且 速 度 很 快 。 在 一 个 33MHz 的 80386 上 ， 此 算法 加 密 数 据 的 速率 是 
2.75Mb/s。Wood 估计 具有 64 位 数据 路 径 ， 采 用 流水 线 设计 的 VLSI, FA 20MHz 时 钟 ， 其 
数据 加 密 速 率 可 超过 1. 28Gb/s。 
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REDOC 亚 是 不 安全 的 5， 它 容易 受到 差分 攻击 ， 仅 利用 2” 个 选择 明文 就 可 重 构 两 个 
掩 码 。 


13. 5.2 专利 和 许可 证 


REDOC 的 两 个 版 本 在 美国 获得 了 专利 "4 ， 国 外 的 专利 还 悬而未决 ， 有 兴趣 获得 
REDOC J| 3} REBOC 亚 使 用 许可 的 任何 人 可 与 其 设计 者 Michal C. Wood 联系 ， 地 址 为 : 
Delta Computec, Inc. , 6647 Old Thompson Rd., Syracuse, NY 13211。 





13.6 LOKI 算法 


LOKI 是 澳大利亚 人 在 1990 年 首先 提出 的 作为 DES 4 — APR ERA IRO™ EEA 
了 64 位 数据 分 组 和 64 位 密 钥 。 该 算法 的 一 般 结 构 和 密 钥 编制 算法 可 在 文献 L274, 275] 中 
找到 ，S 盒 的 设计 方法 可 在 [1247」 中 找到 。 

Biham 和 Shamir 利用 差分 分 析 比 穷 举 攻击 更 快 地 破译 小 于 12 轮 的 LOKIIO 。 并 且 ， 
该 算法 存在 一 个 8 位 的 互补 特性 ， 这 使 得 穷 举 攻 击 的 复杂 性 降低 了 256 AIO 

Lars Knudsen 证 明了 小 于 15 轮 的 LOKI 容易 受到 差分 攻击 "ss 。 另 外 ， 如 果 LOKI 
用 替换 的 S 盒 来 实现 ， 形 成 的 密码 也 容易 受到 差分 攻击 。 


13. 6. 1 LOKI91 


为 了 对 付 这 些 攻击 ，LOKI 的 设计 者 去 掉 了 一 些 已 公开 的 缺陷 ， 修 改 了 该 算法 ， 这 就 是 
LOKI91°") (LOKI 的 前 一 个 版 本 称 为 LOKI89) 。 

为 了 使 该 算法 更 加 能 抗 差 分 攻击 并 能 消除 互补 特性 ，LOKI91 有 下 列 一 些 变化 : 

(1) 改变 了 子 密 钥 的 产生 方法 ， 使 得 每 两 轮 交 换 左右 两 半 部 分 ， 而 不 是 每 轮 交 换 。 

(2) 改变 了 子 密 钥 的 产生 方法 ， 使 得 左 子 密 钥 交替 进行 向 左 环 移 12 位 和 13 位 。 

(3) 取消 了 数据 和 密 钥 的 初始 和 最 终 异 或 运算 。 

(4) S 盒 具有 更 好 的 异 或 差分 特性 (该 改进 可 阻止 差分 分 析 )， 同 时 取消 了 xz 的 任意 值 
以 满足 jz) 王 0， 此 处 了 上 是正 盒 、S 盒 和 了 盒 的 组 合 。 


13. 6. 2 LOKI91 的 描述 


LOKI 与 DES 的 原理 类 似 〈 见 图 13-8) 。 首 先 将 数据 分 组 分 成 左 半 部 分 和 右 半 部 分 ， 并 
运行 16 轮 ， 很 像 DES。 在 每 一 轮 中 ， 右 半 部 分 首先 与 子 密 钥 蜡 或 ， 然 后 通过 一 个 扩展 置换 
( 见 表 13-1) 。 


表 13-1 扩展 置换 
4 3 2 1 32 Bilis, 20 29, 28 27 26 25 
28 27 26 25 24 23. 22 21 20 19 18 17 
20 19 18 17 16, 15, 14 13 12 1] 10 9 
12 11 10 9 8, 7 6 5 4 3 2 1 


将 48 位 输出 划分 为 4 个 12 位 分 组 ， 每 个 分 组 进入 S 盒 代替 ，S 盒 代 蔡 如 下 : 取 每 12 
位 作为 输入 ， 用 它 的 最 左 2 位 和 最 右 2 位 形成 一 个 数 >， 中 间 的 8 位 形成 数 c，S 盒 的 输出 O 
定义 为 : 
Olr,c) = (c+ (r X17) © Oxf f & Orff)” mod Pr 
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图 13-8 LOKI91 


表 13-2 Pr 


然后 ，4 个 8 位 输出 重新 组 合成 32 位 数据 ， 并 通过 表 13-3 描述 的 置换 。 最 后 ， 左 半 部 
分 与 右 半 部 分 异 或 形成 新 的 左 半 部 分 ， 原 来 的 左 半 部 分 与 右 半 部 分 异 或 变 成 新 的 右 半 部 分 。 
在 16 轮 后 ,数据 分 组 再 次 与 密 钥 异 或 产生 密 文 。 


表 13-3 PER 
32， 24， 16, 8, 31, 23, 15, 7, 30, 22, 14, 6, 29, 21, 13, 5 
28 20 12 4 27 19. 11 3, 26 18 10 2 25 17 9 1 


从 密 钥 中 产生 子 密 钥 的 方法 很 简单 。64 位 密 钥 被 分 成 左 半 部 分 和 右 半 部 分 。 在 每 一 轮 
中 ， 子 密 钥 是 左 半 部 分 。 左 半 部 分 随后 向 左 环 移 12 位 或 13 位 ， 然 后 在 每 两 轮 之 间 左 半 部 分 
和 右 半 部 分 交换 。 像 DES 一 样 ， 加 密 和 解密 使 用 同样 的 算法 ， 只 是 在 怎样 使 用 子 密 钥 上 有 
些 不 同 。 


13. 6.3 LOKI91 的 密码 分 析 


Knudsen 曾 尝试 对 LOKI91 进行 密码 分 析 !s 5 ， 他 发 现 该 算法 能 安全 地 对 抗 差分 密码 
分 析 。 但 他 发 现 了 一 种 相关 密 钥 的 选择 明文 攻击 ， 它 能 将 穷 举 攻击 的 复杂 性 降低 了 几乎 1/4。 
这 个 攻击 暴露 了 密 钥 编制 算法 中 的 弱点 ， 如 果 将 这 个 算法 用 作 一 个 单 向 散 列 函数 ， 也 存在 这 
个 弱点 (参见 18. 11 节 ) 。 

利用 相关 密 钥 的 另 一 种 密码 分 析 使 用 2” 个 选择 密 钥 选择 明文 或 23 个 选择 密 钥 已 知 明文 
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能 够 破译 LOKI91055 。 这 个 攻击 与 算法 的 轮 数 无 关 (在 同一 篇 论文 里 ，Biham 利用 相关 密 
钥 攻击 用 2 个 选择 密 钥 选择 明文 或 2” 选 择 密 钥 已 知 明文 破译 了 LOKI89)。LOKI91 很 容易 
抗击 这 个 攻击 ， 避 免 了 简单 密 钥 编 制 。 


13.6.4 ”专利 和 许可 证 


LOKI 没 有 专利 ， 任 何人 都 可 使 用 它 。 本 书 源 代码 版 权 属 于 新 南 威尔士 大 学 。 那 些 对 在 
商业 产品 中 使 用 这 个 代码 〈 或 他 们 的 其 他 代码 ， 它 们 的 运行 速度 不 一 样 ) 感 兴趣 的 任何 人 都 
可 与 下 列 地 址 取得 联系 : Director CITRAD, Department of Computer Science, University 
College, UNSW, Australian Defense Force Academy, Canberra ACCT2600, Australia, 
传真 为 十 61 6 268 8581. 


13.7 Khufu 和 Khafre 算法 


1990 年 ，Ralph Merkle 提出 了 两 个 算法 ， 算 法 的 基本 设计 原理 如 下 号 7 : 

(1) DES 的 56 位 密 钥 长 度 太 短 。 考 虑 到 增加 密 钥 长 度 花 费 微不足道 〈 计 算 机 内 存 很 廉 
价 且 容量 很 大 ) ， 故 它 应 该 加 长 。 

(2) DES 的 置换 适合 于 硬件 实现 ， 用 软件 实现 则 非常 困难 。DES 的 快速 软件 实现 采用 
查 表 来 实现 置换 。 查 表 能 提供 与 置换 同样 的 “扩散 ”特性 ， 但 它 具 有 更 大 的 灵活 性 。 

(3) DES 中 的 S 盒 很 小 ， 每 个 盒 仅 有 64 个 4 位 单元 。 现 在 存储 器 更 大 了 ，S 盒 应 该 增 
大 。 况 且 ， 同 时 使 用 全 部 8 个 S 盒 ， 这 一 点 对 硬件 很 合适 ， 但 对 软件 来 说 却 是 不 合理 的 限 
制 。 应 该 顺序 地 (而 非 并 行 地 ) 使 用 大 的 S 盒 。 

(4) 普遍 认为 DES 的 初始 和 末 置 换 没 有 密码 学 意义 ， 应 该 取消 。 

(5) 所 有 DES 的 快速 实现 都 为 每 一 轮 预 先 计 算出 密 钥 。 基 于 这 个 事实 ， 使 得 这 种 计算 
更 复杂 。 

(6) 不 像 DES，S 盒 的 设计 应 该 公开 。 

针对 这 些 问题 ，Merkle 现在 可 能 要 增加 “ 抗 差 分 密码 分 析 和 线性 攻击 ”， 但 这 些 攻击 在 
当时 还 是 未 知 的 。 


13.7.1 Khufu 


Khufu 是 一 个 64 位 分 组 密码 。 首 先 将 64 位 明文 分 为 32 位 的 两 部 分 : LAR. BK 
两 半 部 分 都 与 密 钥 异 或 。 然 后 ， 它 们 通过 类 似 于 DES 的 一 系列 轮 运 算 。 在 每 一 轮 中 , 工 的 
最 低 字 节 作 为 一 个 S 盒 的 输入 ， 每 个 S 盒 有 8 位 输入 和 32 位 输出 ,输出 的 32 位 再 与 R 
或 。 然 后 工 环 移 8 位 的 某 个 倍数 ， 接 着 L MR 交换 ， 这 一 轮 就 结束 了 。S 盒 本 身 是 动态 的 ， 
每 8 轮 就 要 改变 。 最 后 一 轮 结束 后 , 工 和 尺 与 更 多 的 密 钥 异 或 ， 然 后 组 成 密 文 分 组 。 

虽然 部 分 密 钥 在 算法 开始 和 结束 时 与 加 密 分 组 异 或 ， 但 密 钥 的 主要 目的 是 产生 S 盒 。 这 
些 S 盒 都 是 秘密 的 ， 且 本 质 上 可 看 成 密 钥 的 一 部 分 。Khufu 算法 需要 512 位 〈64 字 节 ) 长 
的 密 钥 ， 并 给 出 了 一 个 从 密 钥 产生 S 盒 的 算法 。 这 个 算法 的 轮 数 是 未 定 的 。Merkle 认为 8 
轮 的 Khufu 可 能 受到 选择 明文 分 析 ， 因 此 推荐 使 用 16、24 a8 320 〈 他 把 轮 数 的 选择 限制 
为 8 的 倍数 ) 。 

由 于 Khufu 有 一 个 相关 密 钥 和 秘密 的 S 盒 ， 所 以 它 对 差分 密码 分 析 是 免疫 的 。 存 在 一 
种 攻击 16 $ Khufu 的 差分 攻击 ， 它 需要 2 个 选择 明文 来 恢复 密 钥 "但 该 方法 不 能 扩展 
到 更 多 的 轮 。 如 果 穷 举 攻击 是 攻击 Khufu 的 最 好 方法 ， 那 么 破译 它 将 非常 地 困难 。512 位 密 
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钥 给 出 了 2” 的 复杂 性 一 一 在 这 种 情形 下 ， 破 译 它 是 不 可 想象 的 。 
13.7.2 Khafre 


Khafre 是 Merkle 提出 的 两 个 密码 算法 中 的 第 二 个 5 。 (Khufu 和 Khafre 以 两 个 埃及 
法 老 的 名 字 命 名 。) 在 设计 上 ， 它 类 似 于 Khufu， 只 是 它 被 设计 在 不 需要 预计 算 时 间 的 应 用 
上 ，S 盒 与 密 钥 无 关 ， 相 反 使 用 了 一 个 固定 的 S 盒 集 ， 且 密 钥 与 加 密 数据 分 组 的 异 或 不 仅 在 
第 一 轮 之 前 和 最 后 一 轮 之 后 ， 而 且 也 在 每 8 轮 加 密 之 后 。 

Merkle 认为 在 Khafre 中 需要 用 64 位 或 128 MRH, H. Khafre 比 Khufu 应 用 更 多 加 密 
轮 。 考 虑 到 Khafre 的 每 一 轮 比 Khufu 更 复杂 ， 这 使 得 该 算法 更 慢 。 作 为 补偿 ，Khafre 不 要 
求 任何 预计 算 ， 因 此 对 于 加 密 少量 数据 速度 更 快 。 

1990 年 ，Biham 和 Shamir 对 Khafre 使 用 差分 密码 分 析 技 术 "。 他 们 用 了 1500 次 不 同 
加 密 的 选择 明文 攻击 法 破译 了 16 轮 Khafre。 用 他 们 的 个 人 计算 机 ， 花 了 大 约 1 小 时 。 如 用 
已 知 明文 攻击 需要 大 约 2* 次 加 密 。 用 2” 次 加 密 的 选择 明文 攻击 或 用 2” 次 加 密 的 已 知 明文 
攻击 能 破译 24 轮 Khafre。 


13.7.3 专利 


Khufu 和 Khafre 都 申请 了 专利 1， 算法 的 源 代码 也 受 专利 保护 。 对 这 两 个 算法 的 使 
用 许可 感 兴 趣 的 人 可 与 以 下 地 址 取得 联系 : Director of Licensing，Xerox Corporation， 
P. O. Box 1600, Stamford, CT, 06904-1600. 


13.8 RC2 算法 


RC2 Ron Rivest 4 RSA 数据 安全 公司 (RSADSI) 设计 的 密 钥 长 度 可 变 的 加 密 算法 。 
虽然 “RC” 的 官方 标准 表示 “Rivest Cipher”， 实 际 上 ， 它 表示 “Ron’”’s Code” (RC3 (EF 
发 过 程 中 在 RSADSI BUMS, RCL 除了 在 Rivest 的 记事 本 上 外 ， 从 未 公开 )。 它 的 细节 未 
公开 ,但 不 要 认为 这 有 助 于 它 的 安全 。RC2 已 经 出 现在 某 些 商业 产品 中 。 就 我 所 知 ，RC2 
没有 申请 专利 ， 仅 作为 商业 秘密 进行 保护 。 

RC2 被 设计 成 取代 DES 的 一 种 密 钥 长 度 可 变 的 64 位 分 组 密码 。 按 照 这 家 公司 的 说 法 ， 
用 软件 实现 的 RC2 te DES 快 3 倍 。 该 算法 接收 可 变 长 度 的 密 钥 ， 其 长 度 可 从 0 字 节 到 计算 
机 系统 所 能 接收 的 最 大 长 度 的 字符 串 ， 加 密 速 度 与 密 钥 的 长 度 无 关 。 这 个 密 钥 预 处 理 成 128 
字 节 的 相关 密 钥 表 ， 所 以 有 效 的 不 同 密 钥 的 数目 是 2. RCO 没有 S HOM, MPR 
“混合 ”和 “ 掩 码 ”， 其 有 一 个 是 从 每 一 轮 中 选取 。 根 据 他 们 的 文献 [1334]: 


RC2 不 是 一 个 迭代 型 的 分 组 密码 ， 这 说 明 RC2 比 其 他 安全 性 依赖 于 复制 DES 
设计 的 分 组 密码 算法 更 能 对 抗 差分 和 线性 攻击 。 


RSADSI 拒绝 公开 出 版 RC2 算法 ， 这 令 人 对 他 们 的 说 法 产生 怀疑 。 他们 愿意 将 算法 的 
细节 提供 给 愿意 签署 对 该 算法 保密 的 人 ， 同 时 他 们 允许 密码 分 析 学 家 公开 他 们 发 现 的 任意 否 
定 的 结果 。 我 不 知道 除了 该 公司 研究 RC2 算法 的 人 外 ,还 有 其 他 什么 人 愿意 对 它们 进行 分 
析 ， 因 为 这 相当 于 为 他 们 做 分 析 工 作 。 

然而 ，Ron Rivest 不 是 一 般 的 “ 滑 头 ”兜售 者 ， 他 是 一 个 受 尊重 并 有 能 力 的 密码 学 
者 。 尽 管 我 没 亲自 审查 这 些 代码 ， 但 我 还 是 对 这 个 算法 有 一 定 程度 的 信任 。 一 旦 RSADSI 
的 专利 问题 得 到 解决 ，RC4 将 放 在 互联 网 上 (参见 17.1 节 )， 将 RC2 也 放 到 网 上 仅 是 时 
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间 问 题 。 

软件 出 版 商 协 会 (SPA) 和 美国 政府 之 间 最 近 达 成 了 一 项 协议 ,美国 政府 在 出 口 方面 给 
予 RC2 和 RC4 (参见 17. 1 节 ) 特殊 的 地 位 (参见 25. 14 节 )。 采 用 这 两 种 算法 之 一 的 产品 
有 更 简单 的 出 口 审批 手续 ， 前 提 是 提供 的 密 钥 长 度 不 超过 40 位 。 

40 位 密 钥 足 够 长 吗 ? 总 共有 2 (10") 个 可 能 的 密 钥 。 假 定 穷 举 搜索 法 是 最 有 效 的 密 
码 分 析 方 法 “〈 一 个 大 胆 的 假设 ， 考 虑 到 算法 从 未 公布 才 做 出 的 ) ， 假 定 穷 举 分 析 芯 片 每 秒 能 
测试 100 万 个 密 钥 ， 那 么 找 出 正确 的 密 钥 将 需要 12.7 天 。 如 果 1000 台 设 备 同时 工作 ， 那 么 
在 20 分 钟 内 就 可 找 出 这 个 正确 的 密 钥 。 

RSA 数据 安全 公司 坚持 认为 ， 当 加 密 和 解密 过 程 很 快 时 ， 穷 举 密 钥 搜索 是 不 能 成 功 的 。 
大 量 的 时 间 将 花费 在 建立 密 钥 表 上 。 尽 管 加 密 和 解密 消息 时 花费 的 时 间 可 以 忽略 不 计 ， 但 当 
尝试 每 一 个 可 能 的 密 钥 时 ， 花 费 的 时 间 必 须 考 虑 。 

美国 政府 绝 不 会 允许 出 口 它 不 能 破译 的 〈 至 少 在 理论 上 ) 算法 。 他 们 可 以 生成 用 每 一 个 
可 能 密 钥 加 密 的 明文 分 组 的 磁带 或 CD。 为 了 破译 一 个 给 定 的 消息 ， 只 需要 运行 这 个 磁带 ， 
然后 将 消息 中 的 密 文 分 组 与 磁带 上 的 密 文 分 组 相 比较 ， 如 果 匹 配 ， 试 试 选 出 的 密 铀 ， 然 后 看 
消息 有 何 意义 。 如 果 你 选择 一 个 普通 的 明文 分 组 〈 全 零 、 对 应 于 空格 键 的 ASCII 码 字 符 
等 )， 这 种 方法 应 该 有 效 。 对 一 个 64 位 明文 用 全 部 10 7 个 可 能 的 密 钥 加 密 ， 其 所 需要 的 存储 
空间 是 8TB 一 一 这 当然 可 能 。 

如 果 要 获得 RC2 许可 证 的 信息 ， 可 以 与 RSADSI 联系 (参见 25.41). 





13.9 IDEA 算法 


Xuejia Lai 和 James Massey 于 1990 公布 了 IDEA 密码 算法 的 第 1 ARO, HE A 
密 标 准 (Proposed Encryption Standard，PES) 。 在 Biham 和 Shamir 演示 了 差分 密码 分 析 之 
后 ， 第 二 年 设计 者 为 抵抗 此 攻击 ， 增 加 了 密码 算法 的 强度 ， 他 们 把 新 算法 称 为 改进 型 推荐 加 
密 标 准 (Improved Proposed Encryption Standard, IPES)!” , IPES 在 1992 年 又 改名 为 
国际 数据 加 密 算 法 (International Data Encryption Algorithm, IDEA) 。 

IDEA 基于 某 些 可 靠 的 基础 理论 ， 虽 然 密 码 分 析 者 能 对 轮 数 减少 的 变型 算法 进行 一 些 分 
析 工 作 ， 但 该 算法 仍然 是 安全 的 。 依 我 看 来 该 算法 是 目前 已 公开 的 最 好 和 最 安全 的 分 组 密码 
算法 。 

现在 还 不 清楚 IDEA 的 未 来 怎样 ， 也 还 没有 打算 用 它 来 蔡 换 DES， 部 分 原因 是 它 有 专利 
和 必须 有 商业 使 用 的 许可 证 ， 部 分 原因 是 人 们 仍 在 等 待 密码 分 析 家 在 将 来 几 年 中 分 析 该 算法 
是 否 安全 ， 它 目前 已 作为 PGP 的 一 部 分 (参见 24.12 节 ) 。 


13.9.1 IDEA 


IDEA 是 一 个 分 组 长 度 为 64 位 的 分 组 密码 算法 ， 密 钥 长 度 为 128 位 ， 同 一 个 算法 既 可 
用 于 加 密 ， 又 可 用 于 解密 。 

与 我 们 已 看 到 过 的 所 有 其 他 分 组 密码 算法 一 样 ，IDEA 既 用 混乱 又 用 扩散 。 该 算法 的 设 
计 原 则 是 一 种 “来 自 于 不 同 代数 群 的 混合 运算 ”。3 个 代数 群 进行 混合 运算 ， 无论 用 硬件 还 
是 软件 ， 它 们 都 易于 实现 。 

。 HR. 

。 模 2* 加 。 

。 模 2” 十 1 乘 (这 个 运算 可 看 成 是 IDEA 的 S 盒 )。 
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所 有 这 些 运 算 这些 是 算法 中 仅 有 的 运算 一 一 没有 位 置换 ) 都 在 16 位 子 分 组 上 进行 。 


这 个 算法 对 16 位 处 理 器 尤其 有 效 。 
13.9.2 IDEA 的 描述 


图 13-9 是 IDEA 的 一 个 总 览 。64 位 数据 分 组 分 成 4 个 16 位 子 分 组 : Xin X X 和 


X4 。 这 4 个 子 分 组 成 为 算法 的 第 一 轮 输入 ， 总 共有 8 轮 。 在 每 一 轮 中 ， 


这 4 个 子 分 组 相互 间 


异 或 、 相 加 、 相 乘 ， 且 与 6 个 16 位 子 密 钥 异 或 、 相 加 、 相 乘 。 在 轮 与 轮 之 间 ， 第 二 和 第 三 
个 子 分 组 交换 。 最 后 在 输出 变换 中 4 个 子 分 组 与 4 个 子 密 钥 进行 运算 。 


X, X X 





X, 





Zz.” VAG] 输出 变换 Z,° 


Y, Y, Y, 
X: 16 位 明文 子 分 组 
Y: 16 位 密 文 子 分 组 
Zo: 16 位 子 密 钥 
D: 16 位 子 分 组 的 相 异 或 
田 : 16 位 整数 的 模 2* 加 
O: 16 位 整数 与 2“ 对 应 0 子 分 组 的 模 2“+1 乘 


图 13-9 IDEA 


在 每 一 轮 中 ， 执 行 的 顺序 如 下 : 
(1) X 和 第 1 个 子 密 钥 相 乘 。 

(D) X: 和 第 2 个 子 密 钥 相 加 。 
(3) X 和 第 3 个 子 密 钥 相 加 。 
(4) X, 和 第 4 个 子 密 钥 相 乘 。 
(5) 将 第 〈1) 步 和 第 G) 步 的 结果 相 异 或 。 
(6) 将 第 (2) 步 和 第 (4) 步 的 结果 相 异 或 。 
(7) 将 第 (5) 步 的 结果 与 第 5 个 子 密 钥 相 乘 。 
(8) 将 第 (6) 步 和 第 (7) 步 的 结果 相 加 。 
(9) 将 第 (8) 步 的 结果 与 第 6 个 子 密 钥 相 乘 。 


w 


VA 
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(10) 将 第 (7) 步 和 第 (9) 步 的 结果 相 加 。 

dD) 将 第 (1) 步 和 第 (9) 步 的 结果 相 异 或 。 

(12) 将 第 (3) 步 和 第 (9) 步 的 结果 相 异 或 。 

(13) 将 第 (2) 步 和 第 (10) 步 的 结果 相 异 或 。 

(14) 将 第 (4) 步 和 第 (10) 步 的 结果 相 异 或 。 

每 一 轮 的 输出 是 第 (11)、(12)、(13) 和 (14) 步 的 结果 形成 的 4 个子 分 组 .将 中 间 两 
个 分 组 交换 〈 最 后 一 轮 除 外 ) 后 ， 即 为 下 一 轮 的 输入 。 

经 过 8 轮 运算 之 后 ， 有 一 个 最 终 的 输出 变换 : 

(1) X 和 第 1 个 子 密 钥 相 乘 。 

(2) X: 和 第 2 个 子 密 钥 相 加 。 

(3) X, 和 第 3 个 子 密 钥 相 加 。 

(4) X, 和 第 4 个 子 密 钥 相 乘 。 
最 后 ， 这 4 个 子 分 组 重新 连接 到 一 起 产生 密 文 。 

产生 子 密 钥 也 很 容易 。 这 个 算法 用 了 52 个 子 密 钥 (8 轮 中 的 每 一 轮 需 要 6 个 ， 其 他 4 
个 用 于 输出 变换 ) 。 首 先 ， 将 128 位 密 钥 分 成 8 个 16 位 子 密 钥 。 这 些 是 算法 的 第 一 批 8 个子 
密 钥 〈 第 一 轮 六 个 ， 第 二 轮 的 头 两 个 ) 。 然 后 ， 密 钥 向 左 环 移 25 位 后 再 分 成 8 个 子 密 钥 。 开 
始 4 个 用 在 第 二 轮 ， 后 面 4 个 用 在 第 三 轮 。 密 钥 再 次 向 左 环 移 25 位 产生 另外 8 个 子 密 钥 ， 
如 此 进行 直到 算法 结束 。 

解密 过 程 基 本 上 一 样 ， 只 是 子 密 钥 需要 求 逆 上 且 有 些微 小 差别 ， 解 密 子 密 钥 要 么 是 加 密 子 
密 钥 加 法 的 逆 要 么 是 乘法 的 道 。( 对 IDEA 而 言 ， 对 于 模 2 十 1 乘 ， 全 0 子 分 组 用 2 = 一 1 
来 表示 ， 因 此 0 的 乘法 逆 是 0) 。 计 算 子 密 钥 要 花 点 时 间 ， 但 对 每 一 个 解密 密 钥 ， 只 需 做 一 
次 。 表 13-4 给 出 加 密 子 密 钥 和 相对 应 的 解密 子 密 钥 。 


表 13-4 IDEA 加 密 和 解密 子 密 钥 





轮 数 加 密 子 密 角 解密 子 密 包 
1 ZZ, Z,Y Z P Z; V Z Zi PF Zp — Z” DA09) 一 DZ508) Z 
2 Di 0 DZ202 Z3 2 Z? Z; Z; Z: (8)—1 =Z% =Z: ® Z, (8) “1 Z P Ze 
3 Zi (3) Z Zz Z O Z; O Z ZO V—Z,O Zn Z 17, (6) 7,66) 
4 ZZ, Za 0 Zy Zs Ze ZY NZ f= Zo Z AZ) ZG) 
5 Zi © ZO Z3 ZO Zs, Ze ZH — Z3,) — Z, 9) Z, @)-1 J 4) Za) 
6 Di © Zp © Fs 6) Z, (8) Z; (6) Ze (6) Z,;%-1—Z, —Z, 4) 7, 9-17, @) 7,3) 
7 Zi P Z Z T Z n Z Z0 2,1 =Z, — Z ZL Z 
8 Di ® Zp ® Z; (8) Z, (8) Zs (8) Ze (8) Z271 — JZ, — Z,@ Z, LZ Ze 

输出 变换 Zi ™ Z, Zz Z, 9) Z,Y-1— JZ, — JZ, ZDP! 


13.9.3 IDEA 的 速度 


目前 软件 实现 的 IDEA E DES 快 两 倍 。 在 33MHz 386 机 器 上 IDEA 加 密 数据 速率 达 
880Kb/s， 在 66MHz 486 机 器 上 加 密 数 据 速 率 达 2400Kb/s。 你 可 能 认为 IDEA 将 很 快 ， 但 
乘法 是 很 费时 的 ， 在 486 上 进行 两 个 32 位 数 的 乘法 需要 40 个 时 钟 周 期 (在 Pentium 上 需要 
10 个 时 钟 周期 ) 。 

一 个 VLSI 实现 的 PES 在 25MHz 时 钟 下 加 密 数据 速率 达 55Mby/sL28.38 由 ETH Zur- 
ich 开发 的 另 一 种 VLSI 芯片 ， 在 107. 8mm’ 的 芯片 上 包含 了 251 000 个 晶体 管 ， 当 时 钟 为 
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25MHz 时 ， 采 用 IDEA 算法 加 密 数 据 速率 可 达 177Mbb/ 022297971 。 


13.9.4 IDEA 的 密码 分 析 


IDEA 的 密 钥 长 度 是 128 位 一 一 比 DES 长 两 倍 多 。 假 定 穷 举 攻击 是 最 有 效 的 ， 那 么 为 获 
取 密 钥 需要 2” (10”) 次 加 密 和 运算。 设计 一 个 每 秒 能 测试 10 亿 个 密 钥 的 芯片 ， 并 采用 10 
亿 个 芯片 来 并 行 处 理 ， 它 将 花费 10 年 一 一 比 宇宙 的 年 龄 还 要 长 。10” 个 这 样 的 芯片 可 在 一 
天 内 找 出 密 钥 ， 但 在 宇宙 中 没有 足够 的 硅 原 子 可 用 来 建造 这 样 一 个 机 器 。 现 在 我 们 正在 接近 
某 个 目标 一 一 虽然 对 不 明 事 物 我 还 是 拭目以待 为 好 。 

或 许 蛮 力 攻击 不 是 攻击 IDEA 的 最 好 方法 。 对 任何 确定 的 密码 分 析 结 果 来 说 ， 这 个 算法 
太 新 了 。 设 计 者 已 经 尽力 使 这 个 算法 抗 差分 密码 分 析 ， 他 们 定义 了 马尔 科 夫 链 且 证 明了 能 搞 
差分 攻击 的 模型 和 量化 大 小 (图 13-10 给 出 原始 的 PES 算法 ， 将 它 与 图 13-9 中 增加 了 
抗 差分 密码 分 析 的 IDEA 算法 进行 比较 。 为 什么 一 点 微小 的 改变 能 导致 这 么 大 的 差别 ， 真 令 
人 惊奇 )。 在 文献 [925] 中，Lai 证 明 ( 他 给 出 了 证 据 ， 不 仅仅 是 一 个 证 明 ), 在 IDEA 的 8 
轮 运算 中 第 4 轮 后 就 对 差分 密码 分 析 有 免疫 了 。 按 照 Biham 所 述 ， 他 的 相关 密 钥 密码 攻击 
对 IDEA BAAN, 







































































x, x, x; X, 
Zz, eis z z” 
P 
一 
Zz, 
1 轮 
i VA 
3 =$ 
i 
| F } 4 
7 至 更 多 轮 : : : : 
输出 变换 
Z, o) aG Zz,” $ Z, ah 
i | 
i YX, NXT ys r 
Y: 16 位 密 文 子 分 组 
Zi: 16 位 子 密 钥 


D: 16 位 子 分 组 的 相 异 或 
FA: 16 位 整数 的 模 2 加 
O: 16 位 整数 与 2 对 应 0 子 分 组 的 模 25+1 乘 


图 13-10 了 ES 


Willi Meier 考察 了 IDEA 的 3 个 代数 和 运算， 并 指出 它们 是 不 兼容 的 ， 并 给 出 了 一 个 例 
子 ， 他 们 能 简单 地 以 该 方式 减少 密码 分 析 者 的 工作 量 几 个 百分比 5 。 对 2 HE IDEA, HH 
击 比 穷 举 攻击 更 有 效 (需要 2” 次 运算 ), 但 对 3 轮 或 3 轮 以 上 的 IDEA， 该 攻击 是 无 效 的 。 
正常 的 IDEA 是 8 轮 ， 因 而 它 是 安全 的 。 
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Joan Daemen 发 现 了 IDEA 的 一 族 弱 密 钥 “中 。 从 某 种 意义 来 说 ， 它 们 不 是 DES 弱 密 
钥 意 义 下 的 弱 密 钥 ， 即 加 密 函 数 是 自 逆 的 。 在 某 种 意义 上 ， 它 们 又 是 弱 密 钥 ， 如 果 使 用 它 
们 ， 攻 击 者 使 用 选择 明文 攻击 可 以 很 容易 识别 它们 。 例 如 ， 一 个 弱 密 钥 是 〈 十 六 进 制 ) 

0000，0000，0x00，0000，0000，0007z，ZZZZ，Z000 
在 “z” 位 置 的 数 可 以 是 任何 数 。 如 果 使 用 了 这 个 密 钥 ， 从 某 些 明文 对 的 异 或 可 得 到 相应 密 
文 对 的 异 或 。 

在 任何 情况 下 ， 偶 然 产 生 这 些 密 钥 中 一 个 的 机 会 非常 小 ， 只 有 1/2”。 如 果 随 机 选择 密 
钥 ， 就 不 会 有 和 危险。 同时 很 容易 修改 IDEA 使 得 它 没有 任何 弱 密 钥 : 把 每 一 个 子 密 钥 与 
0xdae Fra 。 

虽然 许多 人 都 在 分 析 IDEA， 但 我 还 未 听 到 其 他 有 关 IDEA 的 分 析 结 果 。 


13.9.5 IDEA 的 操作 方式 和 变型 


IDEA 能 在 第 9 章 中 讨论 的 分 组 密码 的 任何 模式 中 使 用 。 与 DES 类 似 ，2 重 IDEA 的 实 
现 似乎 易 受 中 间 相 遇 攻 击 (参见 15. 1 节 )。 然 而 ， 因 为 IDEA 的 密 钥 长 度 大 于 DES 密 钥 长 
度 两 倍 多 ， 所 以 这 个 攻击 是 不 可 能 的 。 它 将 需要 64X2” 位 或 10” 字 节 的 存储 空间 ， 也 许字 
宙 中 有 足够 的 东西 可 产生 如 此 大 的 一 个 存储 设备 ， 但 我 对 此 持 怀疑 态度 。 

如 果 你 还 对 并 行 领 域 感到 担忧 ， 那 么 采用 三 重 IDEA 实现 (参见 15. 2 49): 

Č = Exs (Dye CEs (P))) 
它 对 中 间 相 遇 攻 击 是 免疫 的 。 

这 里 没有 理由 限制 你 不 可 用 独立 子 密 钥 来 实现 IDEA， 此 时 你 需要 一 个 密 钥 管理 工具 来 
处 理 这 样 长 的 密 钥 。 对 于 总 长 度 为 832 位 的 密 钥 ，IDEA 需要 52 个 16 位 密 钥 。 这 个 变型 的 
安全 性 比 IDEA 更 高 ， 但 没有 人 知道 能 高 到 多 少 。 

一 个 自然 变型 是 把 分 组 的 长 度 加 倍 。 这 个 算法 用 32 位 子 分 组 替换 16 位 子 分 组 ， 并 使 用 
256 位 密 钥 。 这 样 ， 加 密 操作 将 加 快 ， 安 全 性 将 增加 到 2” 倍 。 它 可 能 吗 ? 支撑 这 个 算法 的 
理论 主要 基于 这 个 事实 : 2+1 是 素数 ， 而 22 十 1 不 是 。 或 许 这 个 算法 经 修改 后 能 运行 ， 
但 它 的 安全 性 将 大 不 一 样 。Lai 说 使 它 运行 将 是 困难 的 。 

尽管 IDEA 比 DES 表现 出 更 大 的 安全 性 ， 但 取代 一 个 当今 正在 使 用 的 算法 是 不 容易 的 。 
如 果 你 的 数据 库 和 消息 模板 接受 了 64 位 密 钥 ， 它 或 许 就 不 可 能 实现 IDEA 的 128 位 密 钥 。 

对 这 些 应 用 ， 通 过 将 64 位 密 钥 自 身 连 接 起 来 形成 128 位 密 钥 。 记 住 ， 经 这 样 修改 的 
IDEA 被 明显 地 弱化 了 。 

如 果 你 更 多 地 关心 速度 和 安全 性 ， 你 可 以 考虑 更 少 轮 数 的 IDEA 变型 ， 现 在 比 穷 举 攻击 
更 快 地 对 IDEA 的 攻击 仅 对 2. 5 轮 或 更 少 轮 有 效 """J  。4 轮 IDEA 是 目前 最 快 的 ， 它 刚好 是 
安全 的 。 





13.9.6 敬告 使 用 者 


IDEA 是 一 个 相对 较 新 的 算法 ， 还 有 许多 问题 没有 解决 。IDEA 是 一 个 群 吗 ? (Lai 认为 
不 是 ”中 ) 有 破译 这 个 密码 的 方法 吗 ? IDEA 有 坚强 的 理论 基础 ， 但 随 着 时 间 的 流逝 ， 看 似 
安全 的 算法 往往 会 被 新 的 密码 分 析 方法 破译 。 有 多 家 研究 组 织 和 军事 组 织 已 经 对 IDEA 进行 
密码 分 析 。 他 们 中 无 任何 人 愿意 公开 他 们 可 能 成 功 破译 IDEA 的 结果 ， 但 将 来 某 一 天 可 能 会 
成 功 。 


232 + 第 三 部 分 密码 算法 


13.9.7 专利 和 许可 证 


IDEA 在 欧洲 和 美国 已 获 专利 ”i 。 专 利 由 Ascom-Tech AG 拥有 ， 对 非 商 业 用 途 没 
有 专利 使 用 费 。 对 取得 这 个 算法 使 用 许可 证 感 兴趣 的 商业 用 户 可 以 与 以 下 地 址 联系 : Ascom 
Systec AG, Dept CMVV, Gewerbepark, CH-5506, Magenwil, Switzerland; 电话 : +41 
64 56 59 83; 传真 : +41 64 56 59 90; Email: idea@ascom. ch, 


13.10 MMB 算法 


Joan Daemem 提出 的 基于 模 乘 法 运算 的 分 组 密码 (Modular Multiplication-based Block 
cipher, MMB) 算法 对 IDEA 使 用 64 位 加 密 块 提出 了 异议 。MMB 与 IDEA 基于 相同 的 基 
础 理论 : 不 同 代 数 群 的 混合 运算 。MMB 是 一 个 迭代 的 分 组 密码 算法 ， 它 主要 由 线性 步骤 
( 异 或 和 密 钥 应 用 ) 和 四 个 大 的 非 线性 可 闭 代 替 并 行 运算 步 又 组 成 ， 这 些 代 替 由 带 常数 因子 
的 模 2° — 1 乘 来 确定 。 得 到 的 是 一 个 既 有 128 MEH, VA 128 位 分 组 的 算法 。 

MMB Æ 32 位 的 文本 子 分 组 (Xo, Xi, X2, X) 和 32 位 子 密 钥 (Ko, Ki, Ke, K;) 
上 运算 。 这 使 此 算法 更 适合 在 当今 的 32 位 处 理 器 上 实现 。 算 法 中 交替 应 用 了 6 次 非 线 性 函 
数 f 和 密 钥 异 或 运算 ， 算 法 过 程 如 下 〈 所 有 下 标 模 4 运算 ) : 

Xi 二 Xi Ok,,i=0 F3 

f(rosmisrares) 

x=, Ok, ,i=0 B3 

FC Z0 9X1 9X2 1X3) 

Xi 二 Xi; Ok .,1=0 B3 

(no tzita) 

并 一 Ok, ,i=0 £3 

f(zosrisr rs) 

Zi 二 Zi Oki) ,i=0 B3 

F lop By Es) 

x= 2; Ohi. 1=0 E3 

florista) 

KR SA 3 步 : 

(1) =c + 2, i=0~3 〈 如 果 乘 法 的 输入 为 全 1， 那 么 输出 也 为 全 1) 。 

(2) 如 果 ro 的 最 低 有 效 位 为 1， 那么 zo 二 xo。 OC; 如 果 zs 的 最 低 有 效 位 为 0， 那 么 xz; = 
T3 C. 

(3) ti= t r: Ozai i=0~3, 

运算 中 的 所 有 变量 下 标 将 模 4。 第 (1) 步 中 的 乘法 运算 是 模 22 一 1 乘法 运算 。 对 这 个 
算法 来 说 ， 如 果 第 二 个 运算 数 是 2” 一 1， 那 么 结果 就 是 2” 一 1。 各 种 常数 是 (十 六 进 制 ): 

C= 2aaaaaaa 


Co = 025fledb 


cy = eo 
c= 2 cy 
C3 = 2" 


常数 C 是 一 个 最 简单 的 具有 高 的 三 进 制 权重 的 常数 ， 最 低 有 效 位 为 零 ， 且 没有 循环 对 
称 性 。 常 数 cs 具有 某 些 其 他 特性 。 为 了 抵抗 基于 对 称 性 的 攻击 ， 常 数 cl c 和 cs 是 co 的 移 
位 。 了 解 更 多 细节 ， 参 见 文献 [405]. 
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解密 是 一 个 逆 过 程 。 第 (2) 步 和 第 (3) 步 是 它们 自身 的 逆 。 第 (1) 步 用 cj" tee, 
co! 的 值 是 0dad4694。 


MMB 的 安全 性 

MMB 的 设计 保证 了 每 一 轮 具 有 与 密 钥 无 关 的 扩散 特性 。 在 IDEA 中 ， 扩 散 量 仅 与 特定 
子 密 钥 的 某 些 扩展 相关 。 并 且 ，MMB 被 设计 成 没有 类 似 IDEA 的 弱 密 钥 。 

MMB 不 安全 [5 ， 虽 然 没 有 公开 的 密码 分 析 ， 但 它 有 以 下 几 个 原因 。 首 先 它 不 能 阻止 
线性 分 析 ， 选 择 一 个 乘法 因子 可 阻止 差分 分 析 ， 但 算法 的 设计 者 并 没有 意识 到 线性 分 析 。 

其 次 ，Eli Biham 有 一 个 有 效 的 选择 密 钥 攻 击 ""] ， 该 攻击 揭露 出 : 所 有 轮 是 相同 的 ， 使 
用 的 密 钥 刚 好 向 左 环 移 32 位 。 再 次 ， 虽 然 MMB 算法 用 软件 实现 非常 有 效 ， 但 该 算法 在 硬 
件 中 的 实现 就 没有 DES 有 效 。 

Daemem 建议 ， 任 何 对 MMB 算法 改进 感 兴趣 的 人 应 当 首先 对 模 整 数 乘 进行 线性 密码 分 
析 ， 并 选择 新 的 模 乘 因子 ， 然 后 对 每 一 轮 选 择 不 同 的 常数 Ci 。 然 后 ， 通 过 增加 常数 到 每 
一 轮 的 密 钥 中 以 去 掉 该 偏差 来 达到 改进 密 钥 表 的 目的 。 设 计 者 并 没有 这 样 做 ， 而 是 重新 设计 
了 3-Way 算法 来 取代 它 (参见 14. 5 节 )。 


13. 11 CA-1.1 算 法 


CA 是 由 Howard Gutowitz 设计 的 基于 细胞 式 自 动机 的 一 种 分 组 密码 算法 7]。 
它 的 分 组 长 度 为 384 位 ， 密 钥 为 1088 位 〈 它 实际 上 有 两 个 密 钥 ， 一 个 1024 位 密 钥 和 一 个 
64 位 密 钥 ) 。 由 于 细胞 式 自 动机 自身 的 性 质 ， 在 大 规模 并 行 集成 电路 中 使 用 该 算法 最 为 
有 效 。 

CA-1.1 采 用 了 可 逆 的 和 不 可 逆 的 细胞 式 自动 机 规则 。 在 可 逆 规 则 下 ， 网 络 的 每 一 个 状 
态 取决 于 一 个 唯一 的 前 导 状 态 ， 而 在 不 可 逆 规 则 下 ， 每 个 状态 能 够 有 许多 前 导 状 态 。 在 加 密 
过 程 中 ， 不 可 逆 法 则 准时 闭 向 迭代 。 为 了 从 一 个 已 知 状态 回溯 ， 随 机 选择 一 个 可 能 的 前 导 状 
态 。 这 个 处 理 过 程 可 以 重复 多 次 。 回 溯 和 迭代 因此 可 用 于 将 消息 信息 与 随机 信息 混合 。CA- 
1.1 采用 了 一 种 特别 的 局 部 线性 不 可 逆 法 则 ， 其 作用 是 对 于 任何 已 给 定 的 状态 ， 可 快速 建立 
它 的 一 个 随机 前 导 状 态 。 可 逆 法 则 也 用 于 某 些 加 密 阶 段 。 

可 逆 法 则 〈 对 状态 子 分 组 的 简单 并 行 置换 ) 是 非 线性 的 。 不 可 逆 法 则 完全 可 以 从 密 钥 信 : 
息 中 推导 出 来 ， 而 可 逆 法 则 既 取 决 于 密 钥 信息 又 取决 于 用 不 可 逆 法 则 加 密 期 间 各 阶段 插入 的 
随机 信息 。 

CA-1. 1 建立 在 分 组 链接 的 结构 上 。 也 就 是 说 ， 消 息 分 组 的 处 理 将 从 加 密 期 间 插入 的 随 
机 信息 序列 的 处 理 中 部 分 地 分 离 出 来 。 随 机 信息 的 作用 是 将 每 个 阶段 加 密 链 接 到 一 起 。 它 也 
能 用 于 将 一 系列 分 组 的 加 密 链 接 到 一 起 。 链 接 中 的 信息 在 加 密 部 件 内 产生 。 

CA-1. 1 是 一 个 新 算法 ， 在 安全 性 方面 做 任何 断言 还 为 时 过 早 。Gutowitz 讨论 了 某 些 可 
能 的 攻击 ， 包 括 差 分 密码 分 析 ， 但 它们 都 不 能 破译 这 个 算法 。 作 为 奖励 ，Gutowitz 愿 提供 
1000 美元 资金 给 “研究 出 一 种 破译 CA-1. 1 可 行 方法 的 第 一 个 人 ”。 


专利 和 许可 证 


CA-1.1 有 专利 "中 ,但 它 对 任何 非 商 业 使 用 是 免费 的 ， 对 获得 算法 的 使 用 授权 或 密码 分 析 
奖金 感 兴趣 的 人 可 与 以 下 地 址 联系 : Howard Gutowitz, ESPCI, Laboratore d’ Electronique, 
10 rue Vauquelin, 75005, Paris, France, 
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13. 12 Skipjack 算法 


Skipjack 是 NSA X Clipper 和 Capstone 芯片 开发 的 加 密 算 法 ( 见 24.16 节 和 24.17 
节 )。 由 于 该 算法 被 归 入 秘密 类 ， 所 以 它 的 细节 从 未 公开 。 它 仅 以 防 帘 改 的 硬件 实现 。 

该 算法 是 保密 的 ， 但 这 并 不 能 增强 它 的 安全 性 ， 因 为 NSA 并 不 打算 将 Skipjack 算法 使 
用 在 Clipper 密 钥 托 管 机 制 以 外 ， 他 们 也 不 打算 将 该 算法 以 软件 实现 并 在 世界 上 广泛 传播 。 

Skipjack 算法 安全 吗 ? 如果 NSA 打算 设计 一 个 安全 算法 ， 它 们 能 够 做 到 。 另 一 方面 ， 
如 果 他 们 打算 设计 一 个 有 陷 门 的 算法 ， 他 们 也 能 做 到 。 

以 下 是 已 公开 的 部 分 5 ， 

。 它 是 一 个 迭代 的 分 组 密码 算法 。 

。 它 的 分 组 大 小 为 64 位 。 

。 它 的 密 钥 为 80 fir. 

。 €n HF ECB, CFB, 64 位 OFB 或 1、8、16、32 及 64 位 CBC 等 任意 一 种 模式 。 

。 每 次 加 密 或 解密 要 进行 32 轮 运算 。 

。 NSA 声明 该 算法 在 1985 年 开始 设计 ，1990 年 完成 了 对 它 的 评价 。 

在 Mykotronx Clipper 芯片 说 明 书 中 说 ，Skipjack 算法 的 运算 时 间 为 64 个 时 钟 周期 ， 
这 意味 着 每 一 轮 仅 有 两 个 时 钟 周 期 : 猜想 一 个 用 于 S 盒 替换 ， 另 一 个 用 于 轮 结束 时 的 异 
或 “〈 记 住 ， 置 换 在 硬件 实现 时 不 需要 时 间 )。Mykotronx 说 明 书 调用 这 两 个 时 钟 周期 来 运 
算 “G 盒 ”以 及 “ 移 位 ”(G 盒 的 一 部 分 称 为 耻 表 ， 可 能 是 一 个 常数 表 ， 也 可 能 是 一 个 函 
数 表 ) 。 

据说 Skipjack 使 用 了 16 个 S 盒 ， 另 外 存储 S 盒 需 要 的 总 存储 量 为 128 字 节 ， 不 希望 这 
两 个 说 法 是 真 的 。 

另 一 种 说 法 是 : 不 同 于 DES, Skipjack 轮 函 数 并 不 是 以 数据 分 组 的 一 半 来 进行 运算 。 结 
合 “ 移 位 ”记号 和 在 Crypto’ 94 会 议 上 的 偶然 声明 ，Skipjack 有 “一 个 48 位 内 部 结构 ”， 这 
意味 着 它 与 SHA 设计 类 似 〈 参 见 18.7 节 )， 但 它 用 了 4 个 16 位 分 组 : 3 个 分 组 通过 相关 密 
钥 的 单 向 函数 产生 一 个 16 位 分 组 ， 该 分 组 与 剩 下 的 一 个 分 组 相 异 或 ;然后 整个 分 组 环 移 16 
位 变 成 下 一 轮 的 输入 ， 这 也 意味 着 128 字 节 的 S 盒 。 我 猜想 S 盒 与 密 钥 有 关 。 

Skipjack 的 结构 可 能 类 似 DES, NSA 意识 到 了 防 帘 改 的 硬件 最 终 将 是 逆向 工程 ， 他 们 
不 会 用 任何 先进 的 密码 技术 来 冒险 。 

NSA 正 计划 用 Skipjack 算法 加 密 他 们 的 防御 信息 系统 ‘DMS)， 该 事实 说 明 该 算法 是 
安全 的 。 为 了 取消 这 个 怀疑 ，NIST 已 宣称 “将 向 政府 以 外 的 有 声望 的 专家 提供 接触 该 算法 
机 密 细节 的 机 会 ， 以 评价 它 的 性 能 ， 并 公开 报告 对 它 的 发 现 ” 2 。 

这 些 专家 的 初步 报告 包括 (从 未 有 最 终 报告 ， 可 能 永远 没有 )"** : 


假定 处 理 能 力 的 成 本 每 十 八 个 月 降低 一 半 ， 仍 需要 36 年 的 时 间 ， 用 穷 举 搜索 
破译 Skipjack 的 难度 才 可 能 等 于 今天 破译 DES 的 难度 。 因 此 ， 在 今后 30~40 年 
中 ， 用 穷 举 搜索 将 不 会 对 Skipjack 构成 明显 威胁 。 

用 捷径 的 攻击 方法 〈 包 括 差 分 密码 分 析 ) 破译 Skipjack 也 不 会 构成 很 大 威胁 。 
它 没有 弱 密 钥 ， 没 有 互补 特性 。 这 些 专 家 没有 时 间 更 深入 地 评价 这 个 算法 ， 只 评价 
了 NSA 自己 的 设计 和 评价 过 程 。 

Skipjack 对 密码 分 析 的 攻击 强度 不 依赖 于 算法 的 保密 。 
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当然 ， 评 测 小 组 专家 没有 足够 长 的 时 间 来 得 出 自己 的 结论 ， 他 们 仅 能 查看 NSA 给 他 们 
的 结果 。 

一 个 不 能 回答 的 问题 是 Skipjack 算法 的 密 钥 空间 是 否 均 匀 (参见 8.2 节 )， 甚 至 如 果 
Skipjack 没有 类 似 DES 的 弱 密 钥 ， 密 钥 编 制 算法 的 某 些 结构 能 使 某 些 密 钥 比 其 他 密 钥 强 。 
Skipjack 有 2 "个 强 密 钥 ， 远 多 于 DES， 随 机 选择 一 个 强 密 钥 的 概率 为 1/1000。 我 个 人 认为 
Skipjack 算法 的 密 钥 空间 是 均匀 的 ， 但 没有 一 个 人 曾 公 开 说 过 这 个 结论 是 错误 的 。 

Skipjack 算法 有 专利 ,但 这 个 专利 正 受 限于 专利 秘密 协商 的 分 发 。 当 且 仅 当 Skip- 
jack 算法 成 功 地 实现 逆向 工程 时 ， 该 专利 才能 发 布 。 这 样 既 保护 了 专利 ， 又 保证 了 商业 秘密 
的 保密 性 。 
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14.1 GOST 算法 


GOST 是 苏联 设计 的 分 组 密码 算法 [65 ，GOST 是 Gosudarstvennyi Standard 或 Gov- 
ernment Standard 的 缩写 ， 它 除了 泛 指 任何 标准 外 ， 其 实 类 似 于 FIPS。( 实 际 上 ， 全 名 是 Gosu- 
darstvennyi Standard Soyuza SSR 或 Government Standard of the Union of Soviet Socialist Re- 
publics.) 该 标准 的 编号 为 28147-89。USSR (苏联 ) 的 政府 标准 会 议 授 予 了 该 标准 。 

我 不 知道 GOST 2817-89 是 否 使 用 在 传统 的 交通 或 民用 加 密 中 ， 该 算法 的 初始 陈述 中 表 
明 : 该 算法 “满足 所 有 的 密码 需求 且 对 保护 的 信息 没有 任何 限制 ”， 我 听 说 该 算法 开始 用 在 
级 别 非常 高 的 通信 中 ， 包 括 典 型 的 军事 通信 ， 但 我 还 不 能 肯定 。 


14. 1.1 GOST 的 描述 


GOST 是 一 个 64 位 分 组 及 256 位 密 钥 的 分 组 密码 算法 ，GOST 也 有 一 些 附 加 的 密 钥 ， 
这 将 在 后 面 讨论 。 该 算法 是 一 个 32 轮 的 简单 迭代 加 密 算法 。 
加 密 时 ， 首 先 把 输入 分 成 左 半 部 分 L 和 右 半 部 分 RR， 第 i 轮 的 子 密 钥 为 K;，GOST 的 
第 ; 轮 为 : 
L; = Ra 
R; = La ® f(Ri1,K.,) 
图 14-1 给 出 了 GOST RARER, KA f 是 直接 的 。 首 先 ， 右 半 部 分 与 第 i 轮 的 子 密 
钥 进 行 模 2” 加 ， 该 结果 分 成 8 个 4 位 分 组 ， 每 个 分 组 作为 不 同 的 S 盒 的 输入 ， 在 GOST 中 
使 用 了 8 个 不 同 的 S 盒 ， 第 一 个 4 位 进入 第 一 个 S 盒 ， 第 二 个 4 位 进入 第 二 个 S 盒 ， 以 此 类 


选择 一 个 子 密 钥 














图 14-1 GOST 算 法 


第 14 章 ”其 他 分 组 密码 算法 ( 续 ) 。 237 


推 。 每 个 S 盒 是 数 0 一 15 的 一 个 置换 。 例 如 ，S 盒 可 能 为 : 
Ts 1s 2, 5 

在 这 种 情况 下 ， 如 果 S 盒 的 输入 为 0， 那 么 输出 为 7; 如 果 输 入 为 1， 那 么 输出 为 10 等 。 
所 有 8 个 S 盒 都 不 同 ， 这 些 被 认为 是 附加 的 密 钥 。S 盒 是 保密 的 。 

8 个 S 盒 的 输出 重组 为 32 位 字 ， 然 后 整个 字 循 环 左 移 11 位 。 最 后 ， 该 结果 与 左 半 部 分 
异 或 变 为 新 的 右 半 部 分 ， 原 右 半 部 分 变 为 新 的 左 半 部 分 ， 将 此 操作 重复 进行 32 次 。 

子 密 钥 的 产生 很 简单 ，256 位 密 钥 划分 为 8 个 32 位 分 组 : Ki, Kz» +, Keo —*# 1H 
用 表 14-1 给 出 的 不 同 子 密 钥 ， 除 了 密 钥 K; 逆序 外 ， 解 密 与 加 密 相同 。 


表 14-1 在 GOST 不同 轮 中 使 用 的 子 密 钥 





轮 数 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 
子 密 钥 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 
轮 数 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 
TAH 1 2 3 4 5 6 7 8 8 7 6 5 4 3 2 al 


GOST 标准 并 没有 讨论 怎样 产生 S 盒 ， 它 们 仅 提 供 了 S 盒 “  。 有 一 个 说 法 : 某 些 苏联 
机 构 将 好 的 S 盒 提 供给 他 们 喜欢 的 机 构 ， 而 将 坏 的 S 盒 提供 给 他 们 打算 破译 的 机 构 。 虽 然 这 
个 说 法 非常 可 能 是 真实 的 ， 但 与 俄罗斯 的 GOST 芯片 制造 商 的 进一步 交谈 给 出 了 另 一 种 说 
法 ， 他 们 用 随机 数 发 生 器 自己 产生 S 盒 置换 。 

最 近 ， 一 组 S 盒 用 于 俄罗斯 联邦 中 央 银 行 ， 这 些 S 盒 也 使 用 在 GOST 的 单 向 散 列 函数 
中 (参见 18. 11 FO, ETI ER 14-2 中 。 


表 14-2 GOST 的 S 盒 


Ssi: 

4 10 9 2 13 8 0 14 6 11 1 12 7 15 5 3 
S2: 

14 11 4 12 6 13 15 10 2 3 8 1 0 7 5 9 
S3: 

5 8 1 13 10 3 4 2 14 15 12 7 6 0 9 11 
S4: 

7 13 10 1 0 8 9 15 14 4 6 12 11 2 5 3 
S@5: 

6 12 7 1 5 15 13 8 4 10 9 14 0 3 11 2 
S86: 

4 1l 10 0 7 2 1 13 3 6 8 5 9 12 15 14 
S7: 

I3 FI 4 1 3 15 5 9 0 10 14 7 6 8 2 12 
s8: 

1 15 13 0 5 7 10 4 9 2 3 14 6 11 8 12 


14.1.2 GOST 的 密码 分 析 


在 GOST All DES 之 间 有 以 下 几 个 主要 区 别 ; 
。 在 DES 中， 从 密 钥 产生 子 密 钥 的 过 程 比较 复杂 ， 而 GOST 的 过 程 非常 简单 。 
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。 DES 有 56 位 密 钥 ,而 GOST 有 256 位 密 钥 。 如 果 你 把 S 盒 置换 保密 ，GOST 将 有 
610 位 的 秘密 信息 。 

。 DES 的 S 盒 是 6 位 输入 和 4 位 输出 ,而 GOST 的 S 盒 是 4 位 输入 和 4 位 输出 。 这 两 
个 算法 都 有 8 个 S 盒 , 但 GOST 的 S 盒 的 大 小 仅 为 DES 的 S 盒 的 1/4。 

。 DES 有 一 个 非 正规 的 置换 ， 称 为 P 盒 ,而 GOST 有 一 个 11 位 的 循环 左 移 。 

e DES 有 16 轮 , 而 GOST 有 32 轮 。 

除了 穷 举 攻击 外 ， 还 没有 发 现 更 好 的 攻击 GOST 的 方法 ， 它 是 一 个 非常 安全 的 算法 。 
GOST 有 256 位 密 钥 一 一 加 上 秘密 的 S 盒 将 更 长 。 在 抗 差分 攻击 和 线性 攻击 中 ，GOST k 
DES 强 。 虽 然 GOST 的 随机 S 盒 可 能 比 DES 的 固定 S 盒 弱 ， 但 它 增强 了 GOST 阻止 差分 攻 
击 和 线性 攻击 的 性 能 。 这 两 个 攻击 也 依赖 于 轮 数 : 轮 数 越 多 ， 攻 击 就 越 困 难 。GOST 的 轮 数 
是 DES 的 两 倍 ， 这 就 可 能 使 差分 攻击 和 线性 攻击 失败 。 

GOST 的 其 他 部 分 要 么 与 DES 中 的 安全 性 等 价 ， 要 么 比 DES 中 的 坏 。GOST 没有 使 用 
DES 中 的 扩展 置换 ， 从 DES 中 删除 置换 可 以 降低 雪崩 效果 从 而 使 它 变 得 更 弱 。 有 理由 认为 
没有 置换 的 GOST 更 弱 。GOST 使 用 加 法 取代 DES 异 或 并 没有 降低 安全 性 。 

它们 之 间 的 更 大 差别 似乎 是 GOST 的 循环 移 位 取代 了 置换 。DES 的 置换 增加 了 雪崩 效 
果 。 在 GOST 中 改变 一 个 输入 位 将 影响 一 轮 中 的 一 个 S 盒 ， 然 后 将 影响 下 一 轮 的 两 个 S 盒 ， 
然后 是 3 个 S 盒 …… 在 GOST 中 ,改变 一 个 输入 位 要 影响 所 有 的 输出 位 需要 8 轮 ，DES 仅 
需要 5 轮 。 这 肯定 是 一 个 弱点 ， 但 记 住 : GOST 有 32%, iii DESMA 16 #. 

GOST 的 设计 者 打算 在 有 效 性 和 安全 性 之 间 达 到 平衡 ， 他 们 修改 了 DES 的 基本 设计 以 
便 产 生 一 个 更 适宜 于 软件 实现 的 算法 。 他 们 似乎 对 算法 的 安全 性 没有 信心 ， 因 此 通过 增 大 密 
钥 长 度 、 对 S 盒 保密 、 增 加 加 密 轮 数 来 尽量 去 掉 这 个 弱点 。 不 管 他 们 努力 的 结果 如 何 ， 我 们 
已 经 看 到 了 比 DES 更 安全 的 算法 。 





14.2 CAST 算法 


CAST 算法 是 加 拿 大 的 Carlisle Adams 和 Stafford Tavares 设计 的 Mn" 。 他 们 声明 : 该 
命名 涉及 他 们 的 设计 过 程 ， 并 体现 随机 性 的 设想 ， 但 注意 这 并 不 是 设计 者 的 初 意 。 一 个 
CAST 算法 的 示例 使 用 了 64 位 分 组 和 64 位 密 钥 。 

CAST 算法 的 结构 也 很 类 似 ， 该 算法 使 用 了 6 个 8 位 输入 和 32 位 输出 的 S 盒 ，S 盒 的 
构造 是 与 实现 相关 的 ， 并 且 很 复杂 。 详 情 看 参考 资料 。 

加 密 时 ， 首 先 把 明文 分 组 分 成 左 半 部 分 和 右 半 部 分 。 这 个 算法 使 用 了 8 轮 ， 在 每 一 轮 中 ， 
右 半 部 分 和 密 钥 经 过 函数 f 形成 的 输出 值 与 左 半 部 分 异 或 形成 新 的 右 半 部 分 ， 原 右 半 部 分 变 成 
新 的 左 半 部 分 。 在 8 轮 后 (在 8 轮 后 左 、 右 部 分 不 交换 )， 将 两 部 分 并 起 来 形成 密 文 。 

函数 f 很 简单 : 

(1) 把 32 位 输入 分 成 4 个 8 位 分 组 : a, b, oc de 

(2) 把 16 位 子 密 钥 分 成 2 个 8 位 子 密 钥 : e fe 

(3) 把 “通过 S 盒 1， 把 2 通过 S 盒 2， 把 < 通过 S 盒 3， 把 4 通过 S 盒 4， 把 通过 S 
盒 5， 把 了 通过 S 盒 6。 

(4) 把 6 个 S 盒 的 输出 进行 异 或 形成 最 终 的 32 位 输出 。 

另外 ，32 位 输入 也 可 与 32 位 密 钥 进 行 异 或 ， 分 成 4 个 8 位 分 组 ， 通过 S 盒 ， 然 后 异 或 
到 一 起 "] 。 该 方法 的 N 轮 似 乎 与 原 选 择 的 NN 十 2 轮 有 相同 的 安全 性 。 

在 每 一 轮 中 使 用 的 16 位 子 密 钥 很 容易 从 64 位 密 钥 计 算出 ， 如 果 Ki Kr, ees Ke 是 
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64 位 密 钥 的 8 个 字 节 ， 那 么 每 一 轮 的 子 密 钥 为 : 

第 l a K,, K, 

第 2 轮 : Kz, Ky 

第 3 轮 : Ks, Ke 

第 4 轮 : K,, Ks 

第 5 轮 : Kis K; 

第 6 轮 : Kz, K, 

第 7 轮 : Ky, K, 

第 8 轮 : Ke, K; 

这 个 算法 的 强度 依赖 于 S 盒 ，CAST 算法 没有 固定 的 S 盒 ， 对 每 一 次 应 用 都 需要 一 个 新 
的 S 盒 。S 盒 的 设计 准则 见 文 献 [10]。bent 函数 是 S 盒 的 列 ， 它 是 从 满足 S 盒 的 特性 中 选 
择 出 来 的 〈 参 见 14. 10 节 )。 对 于 给 定 的 CAST 实现， 一旦 一 组 S 盒 构造 出 来 了 ， 它 将 固定 
下 来 ， 这些 S 盒 与 实现 相关 ， 但 与 密 钥 不 相关 。 

在 文献 [10] 中 证 明了 CAST 算法 能 抗 差分 攻击 ， 在 文献 [728] 中 证 明了 CAST 算法 
能 抗 线性 攻击 。 还 不 知道 比 穷 举 攻击 更 有 效 地 攻击 CAST 算法 的 方法 。 

北方 电信 (Northen Telecom) 正 把 CAST 算法 作为 Macintosh、PC、UNIX 工作 站 上 
的 可 信安 全 软件 包 。 它 们 选择 的 特定 S 盒 未 公开 。 加 拿 大 政府 正在 评估 CAST 算法 ， 打 算 
作为 新 的 加 密 标准 。CAST 算法 的 专利 问题 还 没有 解决 。 


14.3 Blowfish 算法 


Blowfish BRA CITARA., BBA Abe ESI, RK RES A 
的 ， 本 书后 面 的 C 代码 是 公开 的 。Blowfish 的 设计 准则 如 下 : 

(1) RÆ. Blowfish 在 32 位 微 处 理 器 上 的 加 密 速 度 达 到 每 字 节 26 个 时 钟 周期 。 

(2) 紧凑 。Blowfish 能 在 容量 小 于 5K 的 存储 器 中 运行 。 

(3) WA. Blowfish 仅 使 用 了 一 些 简 单 运算 : 基于 32 位 的 加 、 蜡 或 和 查 表 。 它 的 设计 
容易 分 析 ， 且 可 阻止 它 的 错误 实现 5 。 

(4) 可 变 的 安全 性 ，Blowfish 的 密 钥 长 度 是 可 变 的 ， 且 能 达到 448 fiz. 

在 密 钥 不 需要 经 常 更 改 的 应 用 中 ， 如 通信 连接 和 自动 文件 加 密 器 ，Blowfish 是 最 优秀 的 
一 个 算法 ， 当 在 32 位 具有 大 内 存 (如 Pentium 和 PowerPC) 的 微 处 理 器 上 实现 时 ， 其 速度 
tt DES 快 得 多 。Blowfish 不 适合 于 分 组 交换 、 经 常 更 换 密 钥 和 单 向 函数 中 。 它 需要 大 的 存 
储 器 ， 使 得 它 不 能 有 效 地 在 智能 卡 应 用 中 实现 。 


14.3.1 Blowfish 的 描述 


Blowfish 是 一 个 64 位 分 组 及 可 变 密 钥 长 度 的 分 组 密码 算法 ， 算 法 由 两 部 分 组 成 : 密 钥 扩 
展 和 数据 加 密 。 密 钥 扩 展 把 长 度 可 达到 448 位 的 密 钥 转变 成 总 共 4168 字 节 的 多 个 子 密 钥 组 。 

数据 加 密 由 一 个 简单 函数 迭代 16 轮 ， 每 一 轮 由 密 钥 相关 的 置换 、 密 钥 相 关 和 数据 相关 
的 代替 组 成 。 所 有 的 运算 都 是 32 位 字 的 加 法 和 异 或 ， 只 有 的 一 个 运算 是 每 轮 的 4 个 索引 组 
数据 查 表 。 

Blowfish 使 用 了 大 量 的 子 密 钥 ， 这 些 密 钥 必 须 在 加 密 和 解密 之 前 进行 预计 算 。 

P 数组 由 18 个 32 位 子 密 钥 组 成 : 

Pi, P2, Pow © 9 Pis 
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4 个 32 位 的 S 盒 ， 每 个 有 256 个 单元 : 
Sio» Sii ’ Sinz» ees Siss 
S209 Soars Sez. tts Spiess 


Sao， Sais S3,25 ne ng S3,255 32 位 32 位 





S4o， Saas Segr cs S4255 
这 些 子 密 钥 的 计算 方法 将 在 本 节 的 后 面 P, 





Blowfish 是 一 个 由 16 轮 构 成 的 Feistel 44 
k CAW 14. 10 节 )。 输 入 是 64 位 数据 zx， 加 
密 过 程 为 〈 见 图 14-2): 











把 工分 成 32 位 的 两 部 分 : Zr ，zR P, 

对 于 ;一 1 至 16 -由 
ZL 一 ZL @P, ss pe 
rp=F(2,)® zr 多 于 13 次 的 迭代 
交换 x, 和 zx( 最 后 一 轮 取 消 该 运算 ) wee Se 
XR=Xk OP, 

z, =x, DP Pr — 

重新 合并 zi Mrr p 

函数 下 为 〈 见 图 14-3): Pri P= 

把 x, D 4A 8 MRH abc Ald 32 位 32 位 

SH F(x.) =S +S, mod 22) 四 S;,.)+S,,, mod 2” 64 位 

解密 时 ,除了 Pis Pas Pas 0s Pi 以 

道 序 使 用 外 ， 与 加 密 相同 。 

要 求 更 高 速 Blowfish 的 实现 将 把 迭代 展 图 14-2 Blowfish 算法 


开 并 确保 所 有 的 子 密 钥 都 存储 在 高 速 内 存 中 ， 
详情 见 文献 [568]. 

Blowfish 算法 中 子 密 钥 的 计算 过 程 如 下 : 

(1) 初始 化 P 数 组 ， 然 后 是 4 个 S 盒 及 
固定 的 串 。 这 些 串 由 p 的 十 六 进 制 数 组 成 。 

(2) 用 密 钥 的 第 一 个 32 位 与 P, RR, 
用 密 钥 的 第 二 个 32 位 与 P, 异 或 ， 以 此 类 推 ， 
直到 密 钥 的 所 有 位 (直到 Ps )。 周 期 性 地 循 
环 密 钥 的 所 有 位 直到 整个 P 数组 与 密 钥 异 或 
完 为 止 。 

(3) 利用 Blowfish 算法 加 密 全 零 串 ， 其 
密 钥 为 在 第 (1) 步 和 第 (2) 步 中 描述 的 子 
密 钥 。 

(4) 用 第 (3) 步 的 输出 取代 Pi 和 P Bees EAF 

(5) 利用 Blowfish 算法 加 密 第 〈3) 步 的 输出 ， 其 密 钥 为 修改 过 的 子 密 钥 。 

(6) 用 第 (5) 步 的 输出 取代 Ps 和 P, 。 


32 位 








(7) 重复 上 述 操 作 ， 直 到 了 数组 的 所 有 元 素 及 4 个 S 盒 全 部 被 连续 变化 的 Blowfish 的 


输出 所 取代 。 
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为 了 产生 所 需要 的 全 部 子 密 钥 ， 总 共 需 要 友 代 512 次 。 在 应 用 时 这 些 子 密 钥 全 部 被 存储 


下 来 一 一 不 需要 多 次 执行 推导 过 程 。 





14.3.2 Blowfish 的 安全 性 


Serge Vaudenay RÆ SEAS AW r # Blowfish 算法 ， 能 恢复 P 数组 的 差分 攻击 需要 
2 个 选择 明文 (sl 。 对 某 些 弱 密 钥 产 生 的 S 盒 〈 随 机 选择 的 概率 为 1/2") 能 恢复 P 数组 
的 差分 攻击 共 需 要 2 个 选择 明文 。 对 未 知 的 S 盒 ， 这 种 攻击 能 探测 出 是 否 使 用 了 弱 密 钥 ， 
但 不 能 确定 该 密 钥 的 值 〈 既 不 能 求 出 S 盒 也 不 能 求 出 P 数组 ) 。 这 个 攻击 仅 能 对 减少 轮 数 的 
S 盒 有 效 ， 对 16 轮 的 Blowfish 完全 无 效 。 

当然 ， 弱 密 钥 的 发 现 是 有 意义 的 ， 甚 至 虽然 它们 似乎 不 能 揭示 有 用 的 东西 。 弱 密 钥 就 是 
对 给 定 的 S 盒 ， 它 的 两 个 元 素 是 相同 的 ， 在 没 做 密 钥 扩展 之 前 没有 办 法 来 探测 弱 密 钥 ， 如 果 
你 担心 的 话 ， 那 么 必须 做 密 钥 扩展 ， 并 检查 相同 的 S 盒 元 素 。 尽 管 如 此 ， 我 并 不 认为 有 这 个 
必要 。 

我 还 不 知道 有 针对 Blowfish 的 成 功 的 密码 分 析 ， 为 了 安全 ， 不 要 使 用 减少 轮 数 的 Blow- 
fish 算法 。 

Ken Marsh 公司 已 把 Blowfish 算法 用 在 为 Microsoft Windows 和 Macintosh 生产 的 
FolderBolt 安全 产品 中 。 它 也 是 Nautilus 和 PGPfone 中 的 一 部 分 。 


14.4 SAFER 算法 


SAFER K-64 表示 有 64 位 密 钥 的 安全 和 快速 加 密 算法 。James Massey 为 Cylink 公 
司 设计 了 这 个 非 专 利 性 的 算法 ,并 在 他 们 的 产品 中 使 用 了 这 个 算法 。 新 加 坡 政府 打算 将 128 
位 密 钥 的 该 算法 使 用 到 更 大 范围 的 应 用 中 "”" 。 这 个 算法 没有 专利 、 版 权 或 其 他 使 用 限制 。 

这 个 算法 的 分 组 长 度 和 密 钥 长 度 皆 为 64 位 。 它 不 属于 DES 类 的 Feistel 结构 (参见 
14.10 节 )， 但 它 是 一 个 迭代 的 分 组 密码 算法 : 相同 的 函数 用 于 某 些 轮 中 ， 每 一 轮 使 用 了 两 
个 64 位 子 密 钥 ， 且 该 算法 面向 字 节 运算 。 


14.4.1 SAFER K-64 的 描述 


明文 分 组 划分 为 8 字 节 长 度 的 子 分 组 : Bi ，B,，…，B;，B。。 然 后 这 些 子 分 组 进行 7 
轮 运 算 ， 最 后 使 用 一 个 输出 变换 。 每 一 轮 使 用 两 个 子 密 钥 : Ke. Al K,;。 
图 14-4 给 出 了 SAFER K-64 算法 的 框图 ， 首 先 子 分 组 与 子 密 钥 Kii BARTS TH 
或 ， 要 么 进行 字 节 加 法 ， 然 后 8 个 子 分 组 进入 下 列 两 个 非 线 性 变换 之 一 : 
y = 457 mod 257 (4 Æ x = 128,48 4 y= 0) 
y = logs: (W R x= 0, 那么 y = 128) 
这 些 运算 在 有 限 域 GF(257) 上 进行 ，45 是 该 域 的 本 原 元 ， 在 SAFERK-64 的 实现 中 ， 
以 查 表 的 方式 实现 这 两 个 运算 比 每 次 开始 计算 快 得 多 。 
然后 ， 子 分 组 与 子 密 钥 Ks: 要么 进行 字 节 异 或 ， 要 么 进行 字 节 加 法 ， 这 些 运 算 的 结果 进 
入 三 层 线 性 运算 中 ,设计 三 层 线性 运算 的 目的 是 为 了 增加 雪 骨 效应。 每 一 次 运算 称 为 伪 哈 达 
码 变换 (Pseudo-Hadamard Transform，PHT)， 如 果 对 PHT 的 输入 为 a 和 a,， 那 么 输 
出 为 : 
b, = (2a; +a:)mod 256 
bı = (a, +a:)mod 256 
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在 ”> 轮 后 ， 有 一 个 最 终 输 出 变换 ， 它 与 每 一 轮 的 前 面 步骤 是 相同 的 。B, Bis Bs 和 Bs 
与 最 后 子 密 钥 的 相应 字 节 蜡 或 ， B: B B 和 B 与 最 后 子 密 钥 的 相应 字 节 相 加 。 其 结果 
为 密 文 。 





= 
& & 450 logy, logys 450 


2-PHT 2-PHT 2-PHT 2-PHT 


Sey 


a OS 
| ae ee 























i 











2-PHT 2-PHT 2-PHT 2-PHT 
1 2 3 4 5 6 7 8 
输出 (8 字 节 ) 





图 14-4 SAFER 算法 


解密 过 程 是 一 个 逆 过 程 : 输出 变换 (用 减 替 换 加 )， Kiar 轮 逆 运 算 。 逆 PHT 
(IPHT) X: 
a, = (b, — b: )mod 256 
az = (— b, + 26,)mod 256 
Massey 推荐 使 用 6 轮 ， 但 你 如 果 需 要 更 大 的 安全 性 ， 可 以 增加 轮 数 。 
产生 子 密 钥 的 方法 很 简单 ， 第 一 个 子 密 钥 K 即 为 用 户 选择 的 密 钥 ， 后 面 的 子 密 钥 通过 
下 列 方程 产生 : 
Kin = (K; <<< 3i) +c: 
符号 二 二 去 表示 循环 左 移 ， 循 环 逐 字 节 进 行 。ci 是 轮 常 数 ， 如 果 ci 是 第 i 轮 常 数 的 第 7 
个 字 节 ， 那 么 可 以 通过 以 下 公式 计算 所 有 的 轮 常数 : 
j a 4519 Yt mod 256)mod 257) Mod 257 


一 般 情况 下 ， 这 些 值 存储 在 表 中 。 


14.4.2 SAFER K-128 
SAFER K-128 是 由 新 加 坡 内 政 部 开发 的 另 一 个 密 钥 编制 算法 ， 然 后 通过 Massey 把 它 
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加 入 到 SAFER 中 0 。 它 使 用 了 两 个 密 钥 K, MK, PARE 64 位 长 ， 方 法 是 并 行 地 产 
生 两 个 子 密 钥 序列 ， 然 后 交替 地 使 用 每 个 子 密 钥 序列 ， 这 就 意味 着 如 果 你 选择 K =K, H 
A 128 位 密 钥 与 64 位 密 钥 兼容 。 


14.4.3 SAFER K-64 的 安全 性 


Massey 证 明了 SAFER K-64 在 8 轮 后 可 抗 差分 攻击 ， 在 6 轮 后 对 差分 攻击 来 说 也 是 相 
当 安 全 的 ， 在 仅 3 轮 后 线性 分 析 对 该 算法 无 效 ""]。 

Knudsen 发 现 了 密 钥 编制 中 的 一 个 弱点 : 对 每 一 个 有 效 密 钥 ， 至 少 存 在 1 个 〈 有 时 多 
到 9 个 ) 其 他 的 密 钥 ,它们 加 密 不 同 的 明文 产生 相同 的 密 文 ,在 6 轮 后 加 密 成 相同 密 
文 的 明文 数目 为 2”~2”。 当 该 算法 用 于 加 密 时 ， 攻 击 并 不 影响 该 算法 的 安全 性 ， 当 它 用 
于 单 向 函数 时 ， 攻 击 将 极 大 地 降低 它 的 安全 性 。 在 任何 情况 下 ，Knudsen 推荐 至 少 使 用 
8 轮 。 

SAFER 是 为 Cylink 公司 设计 的 ， 而 Cylink 公司 受到 NSA 的 影响 。 在 以 任何 形式 
使 用 SAFER 之 前 ， 我 推荐 再 等 密码 学 家 分 析 几 年 。 


14.5 3-Way 算法 


3-Way 算法 是 Joan Daemen 设计 的 分 组 密码 算法 ?1 ， 它 的 分 组 长 度 和 密 钥 长 度 皆 为 
96 位 ， 它 的 设计 非常 便于 硬件 实现 。 

3-Way 算法 不 是 Feistel 结构 ， 但 它 是 一 个 迭代 的 分 组 密码 算法 ，3-Way 算法 为 n 轮 ， 
Daemen 推荐 11 轮 。 


3-Way 的 描述 
该 算法 的 描述 很 简单 ，z 为 需 加 密 的 明文 分 组 : 
对 于 i 二 0 至 n 一 1 
xz=ax XOR K; 
x=theta(x) 
2=pi— Ike} 
x= gamma(z) 
x 一 pi 一 2(z) 
z=z@K, 
x= theta(z) 
其 中 用 到 的 函数 为 : 
e theta(x) 是 线性 代替 函数 一 一 基本 上 是 循环 移 位 和 异 或 。 
。 pi 一 1(z) 和 pi 一 2(z) 是 简单 的 置换 。 
。 gamma(Zz) 是 非 线性 代替 函数 ， 这 是 取 3-Way 这 个 名 字 的 一 步 ， 它 是 一 个 基于 输入 
的 3 位 分 组 的 代替 并 行 运算 。 
解密 与 加 密 类 似 ， 除 了 输入 位 和 输出 位 必须 是 可 逆 的 外 ， 实 现 3-Way 算法 的 代码 可 在 
本 书 的 后 面 找到 。 
到 目前 为 止 ， 还 没有 成 功 地 对 3-Way 的 密码 分 析 。 这 个 算法 没有 专利 。 


14.6 Crab 算法 
Crab 算法 是 RSA 实验 室 的 Burt Kaliski 和 Matt Robshaw FAM", CRAB 的 思想 是 
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使 用 单 向 散 列 函数 技术 来 实现 快速 加 密 ， 因 此 CRAB 非常 类 似 于 MD5， 这 里 假设 你 已 经 非 
常熟 悉 18.5 节 。 
Crab 有 一 个 大 的 分 组 : 1024 字 节 。 因 为 提出 的 Crab 算法 较 其 实现 具有 更 大 的 研究 价 
所 以 该 算法 没有 给 出 密 钥 产生 程序 。 设 计 者 假设 : 虽然 该 算法 很 容易 接受 可 变 长 度 的 密 
但 仍 存在 一 个 能 将 80 位 密 钥 转变 为 三 个 必 不 可 少 的 子 密 钥 的 方法 。 
Crab 使 用 了 两 个 大 的 子 密 钥 集 ， 
数 0 一 255 的 一 个 置换 :PP。 ,P,P;，… ,Pzss。 
32 位 数 的 2048 单元 数组 :So ,Si ,S;，… + Sor o 
这 些 子 密 钥 在 加 密 或 解密 之 前 必须 全 部 计算 出 来 。 
为 加 密 1024 字 节 的 分 组 X: 
(1) 把 X 分 成 256 个 32 位 的 子 分 组 : Xo， Xi ’ Xz， ba X255 0 
(2) 根据 P 对 这 些 子 分 组 进行 置换 。 
(3) 对 于 r= 二 0 至 3 
WF g=0 至 63 


A= Kup 


值 
钥 


- 


的 


B= Xugti<<<ar 
C= X (agtay<cc<ar 


D= X (agt3)cc<er 


XF s=0 至 7 
A=AQO(B+ f,(B,C,D) + Ssiarisets) 
TEMP = D 
D=C 
C=B 
B=A<<<5 
A = TEMP 

Xp < =A 

Xuagin<<<2r =B 

X ug <<<2r =C 

Xuasty<<<2r = D 


(4) 重新 合并 Xos Xis Xs, vy Kass 形成 密 文 。 
函数 广 (B，C，D) 与 MDS 中 使 用 的 类 似 : 
fo(B,C,D) = (B A ©) V (CB) A D) 
fi(B,C,D) = (B A D) V (C A (7 7D)) 
f2(B,C,D) =BO®OC®OD 
fi(B,C,D) = C ®O(B V = D)) 
解密 是 逆 过 程 。 
产生 子 密 钥 是 一 个 巨大 的 任务 ， 下 面 是 从 一 个 80 位 密 钥 K 产生 置换 数组 P 的 过 程 : 
(1) HAHA K 的 10 字 节 初始 化 Ko, Ki, Kes +5 Ko 
(2) 对 于 i 二 10 至 255 
K;=K,-.® Ki K,-7® Ki-10 
(3) AF c=10 至 255, P=: 


第 14 章 其 他 分 组 密码 算法 ( 续 ) 。 245 


(4) m=0 
(5) 对 于 i 二 0 至 1 
对 于 ;一 256 至 1 步 长 一 1 
m= (Kzs6_ + Kos7-;) mod i 
Kys7_;—= Kzs1_;<<<3 
交换 P: M P 
可 以 用 类 似 的 方式 从 相同 的 80 位 密 钥 或 从 其 他 密 钥 中 产生 S 数组 的 2048 个 32 位 字 。 
设计 者 认为 ， 应 将 这 些 细节 “看 成 一 个 动力 ， 可 能 存在 更 有 效 及 更 安全 的 密 钥 编制 ”1 。 
Crab 可 看 成 是 一 个 新 思想 的 试验 台 ， 而 不 是 一 个 算法 。 它 使 用 了 许多 与 MD5 相同 的 技 
术 。Biham 认为 巨大 的 分 组 可 使 该 算法 更 容易 分 析 "”] 。 另 一 方面 ，Crab 可 能 做 了 一 个 巨大 
密 钥 的 有 效应 用 。 在 这 种 情况 下 ,“ 更 容易 分 析 ” 可 能 并 不 意味 着 更 多 的 东西 。 





14.7 SXAL8/MBAL 算法 


这 是 一 个 来 自 日 本 的 64 fi oh 2H BY a IR, SKALE 是 一 个 基本 算法 ，MBAL 
是 可 变 分 组 长 度 的 扩展 类 型 。 因 为 MBAL 内 部 做 了 一 些 聪明 的 设计 ， 所 以 设计 者 声称 该 算 
法 仅 需要 几 轮 就 可 得 到 适当 的 安全 性 。 采 用 1024 字 节 的 分 组 ，MBAL 大 约 比 DES 快 70 ff. 
不 幸 的 是 ，[1174] 证 明了 MBAL 可 能 被 差分 攻击 ， 同 时 文献 C865] 证 明 该 算法 可 能 受到 
线性 攻击 。 


14.8 RCS 算法 


RC5 是 参数 变量 的 分 组 密码 算法 : 分 组 大 小 、 密 钥 大 小 和 加 密 轮 数 。 它 是 Ron Rivest 
发 明 的 ， 由 RSA KEEA, 
该 算法 使 用 了 三 种 运算 : 异 或 、 加 和 循环 。 对 大 多 数 处 理 器 而 言 ， 循 环 需 要 固定 的 时 
间 ， 同 时 可 变 的 循环 是 一 个 非 线性 函数 。 依 赖 于 密 钥 和 数据 的 循环 是 一 个 有 趣 的 运算 。 
RC5 有 一 个 可 变 长 度 的 分 组 ， 但 本 书 的 例子 将 集中 在 64 位 的 分 组 。 加 密使 用 了 2r 十 2 
个 密 钥 相关 的 32 位 字 : Sos Sis Szo o Sorio XE r 表示 加 密 的 轮 数 。 后 面 将 产生 这 些 
字 。 加 密 时 ， 首 先 将 明文 分 组 划分 为 两 个 32 位 字 : AMB (RC5 假设 将 字 节 封装 为 字 采 用 
了 低 字 节 序 ， 即 第 一 个 字 节 进入 寄存 器 A 的 最 低位 位 置 等 )， 然 后 : 
A=A+5S, 
B=B+S, 
对 于 i 一 1 Br: 
A=((A @ B)<<<B)+S,, 
B=((B ®A)<<<A) + Su 
输出 是 在 寄存 器 A 和 B 中 。 
解密 很 容易 ， 把 明文 分 组 划分 为 两 个 字 : AMB, Mia: 
对 于 ;一 "递减 至 1: 
B=((B-S,4,)>>>AOA 
A=((A—S,,)>>>B)® B 
B=B—S, 
A=A-S, 
这 里 符号 之 之 之 是 循环 右 移 ， 当 然 所 有 的 加 和 减 都 是 模 2”。 
创建 密 钥 组 非常 复杂 ， 但 它 也 是 直接 的 。 首 先 把 密 钥 字 节 复制 到 < 的 32 位 字 的 数组 工 
中 ， 如 果 和 需要， 最 后 一 个 字 可 以 用 零 填充 。 然 后 利用 线性 同 余 发 生 器 模 2” 初 始 化 数组 S: 
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S,=P 
对 于 ;i=1 至 2(r 十 1) 一 1， 
S,=(S,, +Q)mod 2” 

P=0xb7e15163 Fl Q=0x9e3779b9, XE H AE e 和 phi 的 二 进 制 表示 。 

最 后 将 上 与 S 混合 : 

i=j=0 

A=B=0 

3n KOE n Æ 20-+1) Alc PARK 

A=S,=(S,+A+B)<<<3 
B=L,=(L,+A+B)<<<(A+B) 
i=(i+1)mod 2(r+1) 
j=(j+1)mod c 

实际 上 RCS 是 一 族 算法 。 以 上 定义 了 32 位 字 和 4 位 分 组 的 RC5， 没 有 任何 理由 认为 同 
一 个 算法 不 能 是 64 位 字 和 128 位 分 组 。 对 于 w= 64, P AQ 分 别 为 0xb7151628aeb2a6b 和 
0x9e3779b97f4a7c15。Rivest 设计 了 RCS 的 一 个 特殊 的 实现 : RC5-w/r/b6， 这 里 w 是 字 长 、 
r 是 加 密 轮 数 、b 是 密 钥 字 节 长 度 。 

RC5 是 一 种 新 的 算法 ,但 RSA 实验 室 花 费 了 相当 的 时 间 分 析 64 位 分 组 算法 ,在 5 轮 后 
统计 特性 看 起 来 非常 好 。 在 8 轮 后 ， 每 一 个 明文 位 至 少 影响 一 个 循环 。 对 5 轮 的 RC5， 差 分 
攻击 需要 2”“* 个 选择 明文 ; 对 10 轮 ， 需要 2” 个 ; 对 12 轮 ， 需要 2” 个 ; 对 15 轮 ， 需要 2 
个 。 当 然 这 里 仅 有 2”“ 个 可 能 明文 , .所 以 该 攻击 对 15 轮 或 以 上 的 RCS 是 失败 的 。 在 6 轮 后 
线性 分 析 就 是 安全 的 。Rivest 推荐 至 少 12 轮 ， 甚 至 可 能 16 HO, PRAY. 

RSADSI 已 经 为 RC5 申请 了 专利 ， 且 名 称 是 一 个 商业 标志 。 公 司 声明 使 用 许可 的 费用 
将 很 少 ， 但 你 最 好 先 对 它 进行 检查 。 


14.9 其 他 分 组 密码 算法 


在 文献 [301] 中 有 一 个 称 为 CRYPTO-MECCANO 的 算法 ， 它 是 不 安全 的 。 四 个 日 本 
密码 学 家 在 Eurocrypt 91 上 发 表 了 一 种 基于 混沌 理论 的 算法 “3]，Biham 在 同一 届 会 议 
上 对 此 算法 进行 了 分 析 "…” 。 另 一 个 算法 依赖 于 随机 码 特定 集 的 子 集 ”1。 还 有 多 个 基于 纠 
错 编 码 理 论 的 算法 McEliece 算法 的 变型 (参见 19.7 节 )5786.120 Rao-Nam 算 
2 0 0 td 10581293] Rao-Nam 算法 的 变型 [484.74 .1503] 和 Li-Wang 算 yp [964.1561] 一 一 
它们 都 是 不 安全 的 。CALC BARES. UIA (TEA) 太 新 ， 所 以 还 没有 任何 
评价 "3 。Vino 是 另 一 个 算法 63 Matt Blaze 和 我 设计 的 分 组 密码 算法 MacGuffin 算法 是 
不 安全 的 05 ， 它 在 提出 的 会 议 上 被 破译 了 。 类 似 3-Way 算法 设计 原理 的 192 位 分 组 的 
BaseKing 算法 太 新 ， 还 没 来 得 及 做 评价 "2 。 

在 密码 团体 外 ， 还 有 更 多 的 有 实用 价值 的 分 组 算法 。 其 中 的 一 些 正 被 不 同 的 政府 和 军事 
组 织 所 采用 。 这 方面 的 情况 我 一 无 所 知 。 还 有 一 些 有 商业 价值 的 算法 ， 有 些 可 能 好 ， 但 大 部 
分 可 能 不 好 。 如 果 某 公司 认为 公开 他 们 的 算法 会 损害 公司 利益 ， 那 么 最 好 假定 他 们 是 对 的 ， 
且 避 开 该 算法 。 


14.10 分 组 密码 设计 理论 


在 11.1 节 中 描述 了 Shanon 的 扩散 和 混乱 原理 ， 在 给 出 这 个 原理 50 年 之 后 ， 它 们 仍 是 
分 组 密码 算法 设计 的 基石 。 
混乱 可 隐藏 明文 、 密 文 和 密 钥 之 间 的 任何 关系 。 记 住 线性 攻击 和 差分 攻击 是 怎样 揭示 这 
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三 者 之 间 的 任何 小 关系 的 呢 ? 好 的 混乱 使 得 这 种 统计 关系 变 得 复杂 以 至 强 有 力 的 密码 分 析 工 
具 都 不 能 有 效 。 

扩散 就 是 把 单个 明文 位 或 密 钥 位 的 影响 尽 可 能 扩大 到 更 多 的 密 文中 去 。 这 也 隐藏 了 统计 
关系 同时 使 密码 分 析 更 困难 。 

仅 使 用 混乱 对 安全 性 来 说 是 足够 的 ， 由 64 位 明文 到 4 位 密 文 的 密 钥 相关 表 组 成 的 算法 
是 相当 安全 的 ， 问 题 是 需要 很 大 的 存储 空间 来 实现 它 : 需要 10” 字 节 的 存储 空间 。 分 组 密码 
算法 的 设计 就 是 用 较 少 的 存储 空间 创建 这 样 大 的 表 。 

技巧 是 在 一 个 密码 中 以 不 同 的 组 合 方式 多 次 混合 扩散 和 混乱 〈 用 更 小 的 表 ) ， 这 称 为 乘 
积 密码 (product cipher) 。 有 时 由 代替 和 置换 层 构成 的 分 组 密码 称 为 代替 -置换 网 络 (sub- 
stitution-permutation network)， 或 SP 网络 (SP network). 

让 我 们 回 过 头 去 看 看 DES HRMS. 扩展 置换 和 了 盒 完成 扩散 ，S 盒 完 成 混乱 。 扩 展 置 
换 和 了 盒 是 线性 的 ，S 盒 是 非 线 性 的 。 它 们 中 的 每 一 个 运算 都 相当 简单 ， 将 它们 组 合 在 一 起 
也 非常 好 用 。 

DES 还 演示 了 分 组 密码 算法 更 多 的 设计 原理 。 首 先 它 是 一 个 和 迭代 的 分 组 密码 算法 ， 这 
意味 着 将 一 个 简单 的 轮 函 数 迭 代 多 次 。2 轮 DES 不 强 ， 所 有 输出 位 依赖 于 所 有 输入 位 和 密 
钥 位 需要 至 少 5 #078108] 。16 轮 DES 较 强 ，32 轮 DES 更 强 。 


14. 10. 1 Feistel 网 络 


大 多 数 分 组 算法 都 是 Feistel 网 络 ， 这 个 思想 要 追溯 到 20 世纪 70 SEAR A OP, 
一 个 长 度 为 n 的 分 组 ， 然 后 把 它 分 成 长 度 为 n/2 的 两 个 部 分 : LAR, MR n 必须 是 偶数 。 
可 以 定义 一 个 迭代 的 分 组 密码 算法 ， 其 第 i 轮 的 输出 取决 于 前 一 轮 的 输出 : 

L; = R 
R; = Lai 四 JR ,Ki) 
K; 是 第 i 轮 使 用 的 子 密 钥 ，/ EERE AR. 

你 已 经 在 DES、Lucifer、FEAL、Khufu、Khafre、LOKI、GOST、CAST、Blowfish 
和 其 他 分 组 密码 算法 中 看 到 了 这 个 概念 。 它 为 什么 会 有 这 样 大 的 作用 ? 因为 该 函数 保证 了 它 
的 可 逆 性 ， 异 或 用 来 合并 左 半 部 分 和 轮 函 数 的 输出 ， 它 肯定 满足 : 

Lii © 大 RD 四 FOR ss KO = Lis 

只 要 在 每 轮 中 了 的 输入 能 重新 构造 ， 那 么 使 用 了 这 种 结构 的 密码 就 可 保证 它 是 可 逆 的 。 它 
不 管 了 函数 如 何 ， 也 不 需要 它 可 逆 。 我 们 能 将 三 函 数 设 计 成 如 我 们 希望 的 那样 复杂 ， 并 且 不 必 
实现 两 个 不 同 算法 一 一 一 个 用 于 加 密 ， 一 个 用 于 解密 。Feistel 网 络 的 结构 将 自动 实现 这 些 。 


14. 10.2 简单 关系 

DES 有 一 个 性 质 ， 如 果 Ex(P)=C, 那么 Ekeo =C’, HP’. C, K'# PP. C KW 
逐 位 取 补 。 这 个 特性 使 穷 举 攻击 的 复杂 性 降低 了 2 的 因子 。LOKI 的 互补 特性 使 穷 举 攻 击 的 
复杂 性 降低 了 256 的 因子 。 

简单 关系 (simple relation) We LAO”, 

如 果 Ex(P)=C, BA Exny (g(P, K))=hCC, K) 
这 里 f, g 和 hh 是 一 个 简单 函数 。 对 这 个 简单 关系 我 认为 它 很 容易 计算 ， 比 分 组 密码 的 迭代 
更 容易 。 在 DES 中 ，f 是 K 的 逐 位 取 补 ，g 是 P 的 逐 位 取 补 , h 是 C 的 逐 位 取 补 。 这 是 将 
密 钥 和 部 分 明文 异 或 的 结果 。 
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在 一 个 好 的 分 组 密码 算法 中 应 没有 简单 关系 ， 发 现 这 些 弱 点 的 方法 见 文献 [917] 。 


14. 10.3” 群 结构 

在 讨论 算法 设计 时 ， 提 出 的 一 个 问题 是 它 是 否 是 一 个 群 。 群 的 元 素 是 每 一 个 可 能 密 钥 的 密 文 
分 组 ， 群 的 运算 是 合成 。 考 察 算法 群 结构 的 目的 是 掌握 在 多 次 加 密 下 有 和 多少 额外 的 混乱 发 生 。 

然而 有 用 的 问题 不 是 一 个 算法 是 否 是 一 个 群 ， 而 是 它 与 一 个 群 有 多 接近 。 如 果 它 仅 缺 少 
一 个 元 素 ， 它 将 不 是 一 个 群 ， 但 从 统计 上 来 说 双重 加 密 将 是 费时 的 。 对 DES 的 分 析 显 示 
DES 不 是 一 个 群 。 这 里 仍 有 一 个 有 趣 的 问题 是 DES 加 密 产生 的 半 群 问题 。 它 包含 恒等式 吗 ? 
也 就 是 说 它 能 产生 一 个 群 吗 ? 以 另 一 种 方式 看 ， 加 密 (不 是 解密 ) 运算 的 一 些 组 合 能 最 终 产 
生 恒 等 函数 吗 ? 如 果 是 ， 最 短 的 这 种 组 合 是 多 长 ? 

对 穷 举 攻击 来 说 ， 目 的 就 是 估计 密 钥 空间 的 大 小 ， 该 结果 远 远 低 于 密 钥 空 间 的 精 。 


14.10.4 BE 


在 好 的 分 组 密码 中 ， 所 有 的 密 钥 都 是 强 的 。 有 很 少 弱 密 钥 的 算法 〈 如 DES) 一 般 也 没 
有 多 大 问题 。 随 机 选择 一 个 弱 密 钥 的 机 会 很 小 ， 它 很 容易 测试 并 放弃 。 然 而 ， 当 分 组 密码 算 
法 用 于 单 向 散 列 函数 时 ， 弱 密 钥 有 时 能 暴露 出 来 CL 8. 11 节 ) 。 


14.105 强 的 抗 差分 攻击 和 线性 攻击 


差分 和 线性 攻击 的 研究 阐明 了 好 的 分 组 密码 的 设计 理论 ，IDEA 的 发 明 者 引入 了 差分 
(differential) 概念 ， 它 是 基本 特征 思想 的 实现 .””。 他 们 讨论 了 能 抗击 这 个 攻击 的 分 组 密 
码 ，IDEA 是 他 们 研究 的 结果 "3 。 当 Kaisa Nyberg 和 Lars Knudsen 证 明 怎 样 才能 使 一 个 分 
组 密码 对 抗 差分 攻击 时 ， 这 个 概念 被 进一步 形式 化 :25 ， 这 个 理论 被 扩展 到 高 阶 差 
APE TO2 161.927 858.800) 和 部 分 差分 中。 高 阶 差分 似乎 仅 用 在 轮 数 较 少 的 密码 中 ， 但 部 分 差分 能 与 
差分 很 好 地 组 合 。 

线性 攻击 较 新 ， 它 仍 在 进行 改进 。 已 经 定义 了 密 钥 等 级 " "和 多 级 逼近 的 符号 5 ”5 。 
扩展 线性 攻击 思想 的 其 他 工作 能 在 文献 [1270] 中 找到 ，[928] 打算 把 线性 和 差分 攻击 组 合 
成 一 个 攻击 ， 还 不 清楚 什么 样 的 设计 技术 能 阻止 这 类 攻击 。 

Knudsen 已 做 了 一 些 工 作 ， 对 他 称 为 特别 安全 的 Feistel 网 络 (practically secure Feistel 
networks) 考虑 了 一 些 必要 〈 非 充分 ) 条 件 : 该 密码 能 阻止 差分 和 线性 攻击 "1。 在 线性 攻 
击 中 ，Nyberg 引进 了 差分 攻击 中 类 似 差分 的 概念 上 "1 。 

有 趣 的 是 在 线性 攻击 和 差分 攻击 之 间 似 乎 有 对 偶 性 ， 这 个 对 偶 性 明显 体现 在 构造 好 的 差 
分 特性 和 线性 逼近 的 设计 技术 中 59 ， 同 时 也 出 现在 使 密码 算法 能 安全 地 对 抗 这 两 种 攻击 
的 设计 准则 中 "7 。 这 个 研究 领域 将 走向 哪里 现在 仍 不 知道 。 作 为 开始 ，Daemen 已 开发 了 
一 种 基于 线性 攻击 和 差分 攻击 的 算法 设计 策略 "5 。 


14.10.6 S 盒 的 设计 


各 种 Feistel 网 络 的 强度 (特别 是 对 抗 差 分 攻击 和 线性 攻击 的 能 力 ) 与 它们 的 S 盒 紧密 
相关 。 这 给 出 了 一 个 研究 问题 : 构造 好 的 S 盒 。 

一 个 S 盒 是 一 个 简单 的 代替 : 将 m 位 输入 映射 到 位 输出 。 前 面 已 介绍 了 一 个 64 位 输 
入 到 64 位 输出 的 大 的 查询 表 ， 它 是 64X64 位 的 S 盒 。 一 个 和 2 位 输入 到 ?位 输出 的 S 盒 称 
为 mXn 位 的 S 盒 (mXn-bits Sbox)。 在 算法 中 ，S 盒 通 常情 况 下 是 仅 有 的 一 个 非 线 性 步 
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又 ， 它 们 给 出 了 分 组 密码 的 安全 性 。 通 常 它 们 越 大 越 好 。 

DES 有 8 个 不 同 的 6X4 位 的 S 盒 ，Khufu 和 Khafre 有 一 个 8X32 MSE, LOKI 有 
一 个 12X8 位 的 S 盒 ，Blowfish 和 CAST 有 8X32 位 的 S 盒 。 在 IDEA 中 模 乘 是 一 个 有 效 的 
SA., 它 是 16X16 位 的 S 盒 。S 盒 越 大 ， 要 找到 在 差分 攻击 和 线性 攻击 中 使 用 的 统计 关系 
DEER PEL) 。 并 且 ， 当 随机 产生 的 S 盒 对 抗 差分 攻击 和 线性 攻击 来 说 不 是 最 优 的 ， 
WAS 盒 很 大 ， 则 很 容易 找到 强 的 S 盒 。 大 多 数 随 机 的 S 盒 是 非 线性 的 ， 非 退化 的 ， 有 强 的 
阻止 线性 攻击 的 能 力 一 一 并 且 ， 当 输入 位 减少 时 ， 这 些 特性 不 会 很 快 地 减少 58 08 。 

m 的 大 小 比 n 的 大 小 重要 ， 增 加 的 大 小 将 降低 差分 攻击 的 有 效 性 ， 但 极 大 地 增加 了 线 
性 攻击 的 有 效 性 。 事 实 上 ， 如 果 nS2"—m, 那么 在 S 盒 的 输入 和 输出 位 中 存在 着 一 个 明显 
的 线性 关系 ; WE n 宇 2"， 那 么 仅 在 S 盒 的 输出 位 中 存在 着 线性 关系 1 。 

大 部 分 工作 涉及 布尔 函数 (Boolean function) Ay HIE 2-8) 。 为 了 保证 安全 ,在 
S 盒 中 使 用 的 布尔 函数 必需 满足 特定 的 条 件 ， 它 们 不 能 是 线性 的 或 仿 射 的 ， 甚 至 也 不 能 接近 
线性 或 仿 射 8 TSS) | 0 和 1 是 平衡 的 ， 在 不 同 的 位 组 合 中 没有 相关 性 。 这 些 设计 准则 也 与 
bent 函数 (bent function) 的 研究 有 关 : 能 证 明 bent 函数 是 一 个 最 优 的 非 线 性 函数 。 虽 然 它 们 
的 定义 很 简单 和 自然 ， 但 它们 的 研究 却 非常 复杂 20.27905.1376、1271、295,296,297 149,349471,298] 

有 一 个 特性 似乎 非常 重要 ， 即 雪崩 效 应 :， 当 某 些 S 盒 的 输入 位 发 生 改 变 时 ，S 盒 的 输出 
位 改变 了 多 少 。 对 布尔 函数 来 说 很 容易 给 出 条 件 使 它 满足 某 些 雪 骨 特性 ， 但 构造 它们 非常 困 
难 。 严 格 雪崩 准则 (Strict Avalanche Criteria, SAC) 保证 了 当 一 个 输入 位 发 生 改 变 时 输出 
位 将 有 一 半 要 发 生 改 变 55s 。 相 关 的 文献 还 有 "2 52722230，[1640] 试图 以 信息 泄露 术语 给 
出 所 有 这 些 准则 。 

多 年 前 密码 设计 人 员 提 出 了 选择 S 盒 以 使 其 差分 分 布 表 均 匀 。 这 将 通过 抹 平 任何 特定 轮 
的 差分 来 使 差分 攻击 无 效 *“ si] 。LOKI 是 该 设计 的 一 个 例子 。 然 而 这 个 方法 有 时 对 差 
分 攻击 来 说 是 有 帮助 的 "1 ， 实 际 上 更 好 的 方法 是 保证 最 大 差分 尽 可 能 小 。Kwangio Kim 提 
出 了 5 个 类 似 DES 的 S 盒 设计 准则 的 S 盒 构造 法 则 5 。 

选择 一 个 好 的 S 盒 不 是 一 件 容易 的 事情 ， 在 许多 充满 相互 矛盾 的 思想 中 ， 被 认同 的 有 如 
下 4 个 ， 

d) 随机 选择 。 显 然 小 的 随机 S 盒 是 不 安全 的 ， 但 大 的 随机 S 盒 可 能 足够 强 。 有 8 个 或 
更 多 个 输入 的 随机 S 盒 是 相当 强 的 508 0383 ，12 位 的 S 盒 更 好 。 如 果 S 盒 是 随机 的 且 与 密 钥 
相关 ， 那 么 S 盒 将 更 强 。IDEA 使 用 了 大 的 且 与 密 钥 相关 的 S 盒 。 

(2) 选择 和 测试 。 某 些 密码 产生 随机 的 S 盒 ， 然 后 根据 需要 的 特性 来 测试 它 ， 这 个 方法 
的 例子 见 文献 L9, 729]. 

(3) 人 为 构造 。 这 个 技术 几乎 不 使 用 数学 方法 ， 而 是 使 用 更 直接 的 方法 来 产生 S 盒 。 








Bart Preneel (AA; “sere 有 趣 的 准则 在 理论 上 是 不 充分 的 (用 选择 布尔 函数 的 方法 来 产生 S 
SE) eee ” FH BSP TA Be Eyre 


(4) 数学 方法 构造 。 根 据 数学 原理 产生 S 盒 使 得 它们 能 抗 差分 攻击 和 线性 攻击 ， 且 具有 
好 的 扩散 特性 。 这 种 方法 一 个 极 好 的 例子 见 文献 [1179] 。 

还 有 一 些 人 为 构造 和 数学 构造 的 组 合 方法 "” ,但 实际 争论 发 生 在 随机 选择 的 S AT 
足 某 些 特性 的 S 盒 之 间 。 当 然后 一 种 方法 对 于 抗 已 知 攻击 (线性 攻击 和 差分 攻击 ) 来 说 是 最 
优 的 ， 但 还 不 知道 它 能 和 否 提供 抗 未 知 攻击 。DES 的 设计 者 了 解 差 分 攻击 ， 它 的 S 盒 对 于 抗 
该 攻击 来 说 是 最 优 的 。 他 们 似乎 不 知道 线性 攻击 ， 所 以 对 于 抗 线性 攻击 来 说 DES 的 S 盒 是 
JR SSE. Æ DES 中 随机 选择 S 盒 对 于 抗 差分 攻击 来 说 更 弱 ， 而 对 于 抗 线性 攻击 来 说 
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更 强 。 

男 一 方面 ， 对 于 抗 这 些 攻 击 来 说 随机 选择 的 S 盒 可 能 不 是 最 优 的 ， 但 可 以 使 它们 足够 
大 ， 因 此 足以 抗 这 些 攻 击 。 并 且 ， 对 于 未 知 攻 击 它们 具有 足够 的 抵抗 性 。 争 论 仍 然 存在 ， 但 
我 个 人 认为 S 盒 应 当 尽 可 能 大 、 随 机 且 与 密 钥 相关 。 


14.10.7 ”设计 分 组 密码 


设计 一 个 分 组 密码 很 容易 。 如 果 把 64 位 分 组 密码 看 成 是 一 个 64 位 数 的 置换 ， 显然 几乎 
所 有 这 样 的 置换 都 是 安全 的 。 困 难 的 是 设计 一 个 分 组 密码 不 仅 要 安全 ， 而 且 要 容易 描述 和 简 
单 实现 。 

如 果 有 一 个 巨大 的 存储 器 来 存储 48X32 的 S 盒 ， 那 么 设计 一 个 分 组 密码 很 容易 。 如 果 
把 DES 迭代 128 轮 ， 那么 想 要 设计 一 个 不 安全 的 DES 变形 将 十 分 困难 。 如 果 密 钥 长 度 为 
512 位 ， 实 际 上 就 不 用 关心 这 些 密 钥 是 否 有 互补 特性 。 

实际 上 ， 设 计 分 组 密码 非常 困难 的 原因 ， 是 该 密码 要 具有 尽 可 能 小 的 密 钥 、 尽 可 能 小 的 
存储 空间 以 及 尽 可 能 快 的 运行 速度 。 


14. 11 使 用 单 向 散 列 函数 
用 单 向 函数 加 密 的 一 个 简单 方法 是 与 密 钥 相连 的 前 一 个 密 文 分 组 进行 散 列 运算 。 然 后 将 
结果 和 当前 的 明文 分 组 异 或 : 
+ = P; ®H(K,C;,) 
P,=C, ® H(K,C,,) 
设 分 组 的 长 度 等 于 单 向 散 列 函数 的 输出 ， 这 实际 上 是 将 单 向 函数 作为 CFB 模式 中 的 分 
组 密码 使 用 。 类 似 的 构造 也 可 以 使 用 OFB 模式 中 的 单 向 函数 : 
C,=P;@S,, S = H(K,C;,) 
P,=C,@S;, S: = H(K,C;,) 
这 种 方法 的 安全 性 依赖 于 单 向 函数 的 安全 性 。 


14. 11.1 Karn 


由 Phil Karn 发 明 且 公开 发 表 的 Karn 方法 用 确定 的 单 向 散 列 函数 设计 可 逆 加 密 算 法 。 
该 算法 对 32 字 节 的 明文 和 密 文 进行 运算 ， 密 钥 可 以 为 任意 长 度 ， 不 过 对 于 确定 的 单 向 
散 列 函数 来 说 ， 确 定 密 钥 长 度 将 更 有 效 。 对 单 向 散 列 函数 MD4 和 MDS, 96 字 节 密 钥 最 
有 效 。 
加 密 时 ， 首 先 将 明文 分 成 两 个 16 字 节 : 已 和 PP,。 然 后 ,将 密 钥 分 成 两 个 48 字 节 : K, 
和 K,。 
P= P,,P, 
K = KK, 
将 K, 附加 到 P,， 用 单 向 散 列 函数 对 它 进行 散 列 运算 ， 然 后 将 该 结果 与 P, 异 或 产生 密 
文 的 右 半 部 分 C,。 然 后 ， 将 K, 附加 到 C,， 并 用 单 向 散 列 函数 对 它 进 行 散 列 运 算 ， 然 后 将 该 
结果 与 已 异 或 产生 密 文 的 左 半 部 分 C,。 最 后 ,将 C, 附加 到 C,， 产 生 密 文 。 
C, = P, @H(P,,K;) 
C = Pi © HCK.) 
C= C,.C, 
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解密 是 一 个 简单 的 逆 过 程 ， 将 K, 附加 到 C,， 进 行 散 列 运算 并 与 C, 异 或 产生 明文 P,。 
HK, 附加 到 C,， 进 行 散 列 运算 并 与 C, 异 或 产生 明文 P,。 
P,=C, ®H(C,,K,) 
P,=C, ®H(P,,K,) 
P= P,,P, 
PHI EAA SA THINS Hh IE. A TIA HY SARE KA 
在 单 向 散 列 函数 中 ， 所 以 它 仅 有 两 轮 。 同 时 由 于 密 钥 仅 作为 散 列 函数 的 输入 ， 所 以 即使 用 选 
择 明 文 攻击 ， 它 也 不 能 被 破译 ， 当 然 ， 要 假定 这 个 单 向 散 列 函数 是 安全 的 。 


14. 11.2 Luby-Rackoff 


Michael Luby 和 Charles Rackoff 指出 Kan 是 不 安全 的 2 。 考 虑 两 个 单 分 组 的 消息 : 
AB 和 AC。 如 果 密 码 分 析 者 既 知 道 第 一 个 消息 的 明文 又 知道 密 文 ， 那 么 他 们 就 知道 第 二 个 
消息 明文 的 第 一 部 分 ， 随 后 就 能 够 容易 地 计算 出 完整 的 第 二 个 消息 。 这 种 已 知 明文 攻击 仅 对 
确定 情况 有 用 ， 但 它 是 一 个 主要 的 安全 性 问题 。 
3 轮 加 密 算法 将 避免 这 个 问题 5 59325504 ， 它 使 用 3 个 不 同 的 散 列 函 数 : Hi. H: M H, 
进一步 的 证 明 给 出 OH, RES H, R H, 能 等 于 H, (AMAA. IFA Hi、 
H: 和 H, 不 能 是 基于 同一 个 基本 函数 的 迭代 ”5 ， 无 论 如 何 还 需 假设 Hk, r) 像 一 个 伪 随 
机 函数 ， 因 此 3 轮 加 密 过 程 为 : 
C1) 把 密 钥 分 成 两 部 分 : K, 和 KK,。 
(2) 把 明文 分 组 分 成 两 部 分 : Lo Al Ro. 
(3) 将 K, 附加 到 志 ,， 并 进行 散 列 运算 。 其 结果 与 Ro ARE R : 
R = R, © HK slo) 

(4) 将 K, 附加 到 R,， 并 进行 散 列 运算 。 其 结果 与 L。 异 或 产生 Li: 
Li = Ro © HCKi slo) 

(5) 将 K, 附加 到 工 ; ， 并 进行 散 列 运算 。 其 结果 与 R 异 或 产生 R;: 
R, = Ri © H(K,.L,) 

(6) 将 附加 到 R,， 产 生 消 息 。 


14. 11.3 消息 摘要 密码 


由 Peter Gutmann 发 明 的 消息 摘要 密码 (Message Digest Cipher, MDC)!°*! E — Fp A 
向 散 列 函数 转变 成 运行 于 CFB 模式 下 的 分 组 密码 的 方法 。 实 际 上 这 个 密码 算法 与 散 列 函 
数 一 样 快 ， 且 安全 性 至 少 与 散 列 函数 一 样 。 本 节 的 剩余 部 分 假设 你 已 经 熟悉 第 18 章 的 
内 容 。 

散 列 函数 (如 MD5 和 SHA) 使 用 512 位 分 组 把 输入 值 (MD5 是 128 fiz, SHA 是 160 
fi) 变 为 相同 长 度 的 输出 值 。 这 个 变换 是 不 可 逆 的 ， 但 对 于 CFB 模式 它 很 完美 : 同样 的 运 
算 既 用 于 加 密 又 用 于 解密 。 

让 我 们 用 SHA 来 看 看 MDC. MDC 拥有 160 位 分 组 和 512 位 密 钥 。 散 列 函 数 的 使 用 
作为 “单行 道 “， 将 旧 的 散 列 状 态 作 为 输入 明文 分 组 (160 位 )，512 位 散 列 输入 作为 密 铀 
( 见 图 14-5)。 正 常情 况 下 ， 当 使 用 散 列 对 某 些 输入 进行 散 列 运算 时 ， 当 每 一 个 新 的 512 
位 分 组 进行 散 列 运算 时 ， 散 列 的 512 位 输入 将 改变 ,但 是 此 时 512 位 输入 变 成 一 个 不 变化 
的 密 钥 。 
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消息 分 组 
输入 值 输出 值 BL PRK 
明文 > 密 文 
a) 散 列 函数 b) 在 CFB 模 式 下 将 散 列 函数 作为 明文 密码 


图 14-5 消息 摘要 密码 


MDC 能 使 用 任何 单 向 散 列 函数 : MD4、MD5、Snefru 和 其 他 的 。MDC 无 专利 权 ， 任 
何人 可 在 任意 时 间 以 任意 方式 免费 使 用 它 ']。 i 

然而 ， 我 并 不 相信 这 种 结构 。 以 某 种 散 列 函数 在 设计 中 没有 考虑 到 的 方式 来 攻击 散 列 函 
数 是 可 能 的 。 对 于 散 列 函数 来 说 ， 能 阻止 选择 明文 攻击 并 不 重要 ， 这 里 密码 分 析 者 选择 几 个 
160 位 值 ， 然 后 用 相同 的 512 位 “ 密 钥 ”加 密 它 ， 使 用 它 能 学 到 使 用 512 位 密 钥 的 一 些 信 
息 。 因 为 设计 者 不 必 担 心 它 ， 在 计算 密码 能 阻止 这 种 攻击 方面 它 似 乎 是 一 个 坏 主意 。 


14. 11.4 基于 单 向 散 列 函数 的 密码 安全 性 

这 种 构造 方法 的 安全 性 依赖 于 基本 的 单 向 散 列 函数 的 选择 。 一 个 好 的 单 向 散 列 函数 并 不 
一 定 能 使 密码 算法 安全 ， 密 码 的 需要 是 不 同 的 。 例 如 ， 线 性 攻击 并 不 能 对 单 向 散 列 函数 有 
效 ， 但 它 能 对 加 密 算法 有 效 。 一 个 单 向 散 列 函数 (如 SHA) 能 有 一 个 线性 特征 ， 但 并 不 影 
啊 它 作为 单 向 散 列 函数 的 安全 性 ， 仅 使 它 在 一 个 加 密 算法 〈 如 MDC) 中 不 安全 。 据 我 了 解 ， 
还 没有 对 某 一 个 特定 单 向 散 列 函数 构成 的 分 组 密码 算法 的 密码 分 析 ， 在 你 们 相信 这 些 算 法 之 
前 还 是 再 等 等 吧 。 


14.12 分 组 密码 算法 的 选择 

这 是 一 个 很 难 回答 的 问题 。 对 于 世界 上 主要 的 政府 部 门 来 说 DES 几乎 肯定 是 不 安全 的 ， 
除非 你 仅 用 一 个 密 钥 来 加 密 一 个 非常 小 的 数据 块 。 对 其 他 人 来 说 可 能 也 是 这 样 ， 但 这 种 情况 
不 久 就 会 改变 。 对 所 有 机 构 来 说 ，DES 密 钥 的 穷 举 搜索 机 器 将 很 快 变 得 很 经 

Biham 的 DES 密 钥 相 关 的 S 盒 将 至 少 在 几 年 内 对 已 发 现 的 所 有 攻击 者 〈 甚 至 可 能 包括 
他 们 自己 ) 来 说 是 安全 的 。 如 果 你 需要 将 安全 性 维持 10 年 ， 或 者 担心 来 自 于 政府 的 密码 分 
析 ， 那 么 可 以 使 用 有 3 个 独立 密 钥 的 3 E DES, 

其 他 算法 也 不 是 没有 价值 。 我 喜欢 Blowfish 算法 ， 因 为 它 很 快 并 且 是 我 设计 了 它 。 
3-Way 看 起 来 很 好 ，GOST 可 能 也 很 好 。 问 题 是 NSA 肯定 有 很 强 的 密码 分 析 技术 ， 我 并 不 
知道 他 们 可 以 破译 哪 一 个 算法 。 表 14-3 给 出 了 一 些 算 法 的 运算 速度 ， 它 们 仅 用 于 比较 。 


表 14-3 一 些 分 组 密码 算法 在 33MHz 486SX 上 的 加 密 速度 


加 密 速度 加 密 速度 
sli (KB/s) EEIE (KB/s) 





Blowfish(12 轮 ) 182 MDC( 使 用 MD4) 186 
Blowfish(16 轮 ) 135 MDC( 使 用 MD5) 135 
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( 续 ) 
wm B/S) ero (KB/S 
Blowfish(20 轮 ) 110 MDC( 使 用 SHA) 23 
DES 35 NewDES 233 
FEAL-8 300 REDOCII 1 
FEAL-16 161 REDOCIII 78 
FEAL-32 91 RC5-32/8 127 
GOST 53 RC5-32/12 86 
IDEA 70 RC5-32/16 65 
Khufu(16 轮 ) 221 RC5-32/20 52 
Khufu(24 轮 ) 153 SAFER(6 轮 ) 81 
Khufu(32 轮 ) 115 SAFER(8 轮 ) 61 
Luby-Rackoff( 使 用 MD4) 47 SAFER(10 轮 ) 49 
Luby-Rackoff( 使 用 MD5) 34 SAFER(12 轮 ) 41 
Luby-Rackoff( 使 用 SHA) 11 3-Way 25 
Lucifer 52 3 E DES 12 


IDEA 是 我 喜爱 的 算法 。 它 的 128 位 密 钥 中 融合 了 对 任何 已 公开 密码 分 析 的 抵抗 性 ， 这 
使 我 对 该 算法 有 信任 的 感觉 。 此 算法 已 被 许多 不 同 的 组 织 分 析 过 ， 到 目前 为 止 还 没有 严重 的 
问题 发 生 ， 明 天 可 能 会 出 现 一 些 爆炸 性 的 密码 分 析 新 闻 ， 但 今天 我 仍 看 好 IDEA, 
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将 一 个 分 组 密码 算法 组 合成 一 个 新 的 算法 有 很 多 途径 ,这 些 途 径 是 在 人 们 不 想 设计 新 算 
法 ， 又 想 增加 密码 算法 强度 的 情况 下 产生 的 。 自 DES 产生 后 的 二 十 多 年 里 ， 人 们 一 直 在 分 析 
它 。 到 目前 为 止 ， 对 它 最 有 效 的 攻击 仍然 是 穷 举 攻击 ， 所 以 DES 是 一 个 安全 的 算法 。 但 是 ， 
它 的 密 钥 太 短 了 。 用 DES 作为 一 个 结构 模块 组 成 一 个 具有 较 长 密 钥 的 密码 算法 是 否 较 好 呢 ? 
这 样 便 综合 了 两 方面 的 优势 : 二 十 多 年 来 的 分 析 结果 表明 ， 加 长 密 钥 是 一 个 有 效 的 方法 。 

多 重 加 密 (multiple encryption) 是 一 种 组 合 技术 : 用 同一 个 算法 在 多 重 密 钥 的 作用 下 
多 次 加 密 同 一 个 明文 分 组 。 级 联 加 密 有 点 像 多 重 加 密 ， 但 它 用 不 同 的 算法 。 另 外 还 有 其 他 一 
些 技 术 。 

不 管 使 用 同一 个 算法 ， 还 是 使 用 不 同 的 算法 ， 用 同一 个 密 钥 加 密 一 个 明文 分 组 两 次 都 是 
不 明智 的 。 对 于 同一 个 算法 ， 它 不 会 影响 穷 举 搜索 的 复杂 性 〈 记 住 : 假设 密码 分 析 者 知道 密 
码 算法 ,包括 加 密 的 次 数 ); 对 于 不 同 的 算法 ， 有 时 行 ， 有 时 不 行 。 如 果 你 想 用 这 部 分 描述 
技术 中 的 任何 一 种 ， 一 定 要 保证 多 重 密 钥 是 不 同 且 相互 独立 的 。 


15.1 双重 加 密 
提高 分 组 密码 算法 安全 性 最 简单 的 方法 是 用 不 同 的 密 钥 对 一 个 分 组 进行 两 次 加 密 。 首 先 


用 第 一 个 密 钥 加 密 明 文 分 组 ， 然 后 用 第 二 个 密 钥 加 密 用 第 一 个 密 钥 加 密 后 的 密 文 。 解 密 是 一 
个 相反 的 过 程 。 





C= Ex, (Ex, (P)) 
P = Dx, (Dx, (CD) 
如 果 分 组 密码 算法 是 一 个 群 (参见 11. 3 节 ) ， 那 么 总 有 一 个 K, 满足 
C = Ex, (Ex, (P)) = Ex, (P) 

如 果 不 是 这 种 情况 ， 那 么 对 以 上 合成 的 双重 加 密 的 密 文 分 组 ， 利 用 穷 举 搜索 方法 破解 它 
就 非常 困难 。 它 不 只 需要 2”(n 是 密 钥 的 位 长 度 ) 次 尝试 ， 而 是 需要 2” 次 尝试 。 如 果 算 法 
是 64 位 密 钥 算法 ， 那 么 要 找到 双重 加 密 的 密 钥 需要 2”“ 次 尝试 。 

这 不 是 真正 的 已 知 明文 攻击 。Merkle 和 Hellman!” 研究 了 一 种 时 间 - 存 储 折 中 技术 ， 
用 它 能 攻击 双重 加 密 ， 只 需 通过 2 :次 加 密 ， 而 不 是 2” 次 加 密 (他 们 将 它 用 于 攻击 DES, 
但 是 结果 表明 它 能 用 于 任何 分 组 算法 ) 。 这 种 攻击 叫做 中 间 相 遇 攻 击 (meet-in-the-middle at- 
tack)。 它 的 工作 原理 是 加 密 从 其 中 一 端 开 始 ， 解 密 从 男 一 端 开 始 ， 在 中 间 匹 配 结果 。 

在 这 种 攻击 中 ， 密 码 分 析 者 知道 Pi C, Pa 和 C: 

Ci = Ex, (Ex, (P1)) 

Cy = Ex, (Ex, (P2)) 
对 于 每 一 个 K， 他 计算 出 Ex (CP,)， 并 将 结果 存储 在 存储 器 中 。 对 于 所 有 的 K, MIT Rh 
Ex(P,) 后 ， 他 再 对 每 一 个 KK， 计 算出 Dx CC, ) ， 并 且 寻 找 相同 的 结果 。 如 果 找 到 了 相同 的 
结果 ， 那 么 可 能 当前 的 天 是 天 ,， 并 且 产 生存 储 器 中 加 密 结果 的 天 是 K,。 然 后 ， 他 试 着 用 
K, 和 天。 加密 P;， 如 果 他 得 到 了 C 〈 成 功 的 概率 为 1/2””， 其 中 m 为 分 组 长 度 ) ， 则 说 
明 他 得 到 了 正确 的 K 和 K;。 如 果 加 密 后 没有 得 到 Cs ， 则 继续 寻找 。 这 种 加 密 最 多 需要 学 
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试 2X2"*， 即 2””' 次。 如果 错误 的 可 能 性 太 大 ， 那 么 他 还 可 以 利用 第 三 个 密 文 分 组 ,成功 的 
可 能 性 为 1/2w”。 还 存在 其 他 一 些 优化 方法 。 
A TER Sli]: 2" 个 分 组 。 对 于 56 位 密 钥 的 算法 ， 加 密 后 转化 成 2 个 
64 位 分 组 ， 或 者 10" 字 节 。 这 仍 需要 一 个 非常 大 的 存储 空间 ， 远 超过 人 们 能 理解 的 空间 ， 
但 这 足以 让 大 多 数 黎 码 设计 人 员 相信 双重 加 嘱 并 不 是 没有 价值 
对 于 128 位 密 钥 ， 所 需要 的 存储 空间 将 大 到 10” 字 节 。 如 果 我 们 假定 将 1 位 信息 作为 铝 
的 单个 原子 ， 发 起 攻击 所 需要 的 存储 器 容量 将 超过 1 立方 和 干 米 的 国体 锅 ， 何 况 我 们 还 需要 地 
方 将 它 存 放 起 来 。 所 以 中 间 相 遇 攻击 对 这 种 密 钥 长 度 是 不 可 行 的 。 
另 一 个 双重 加 密 方法 ， 有 时 也 叫做 Davies-Price， 它 是 CBC” THEIRE 
Cy = Ey, (P; @ Ex, (C1)) 
P; = Dx, (Ci) © Ex, (Cur) 
他 们 声称 “这 种 方式 没有 特殊 的 优点 ”。 但 是 它 似乎 与 其 他 双重 加 密 一 样 易 受 到 中 间 相 
遇 攻 击 。 


15.2 三 重 加 密 


15.2.1 用 两 个 密 钥 进行 三 重 加 密 

Tuchman 在 文献 [1551] 中 提出 了 一 个 较 好 的 方法 ， 用 两 个 密 钥 对 一 个 分 组 进行 3 次 
加 密 : 首先 用 第 一 个 密 钥 ， 然 后 用 第 二 个 密 钥 ， 最 后 再 用 第 一 个 密 钥 。 他 建议 发 送 者 首先 用 
第 一 个 密 钥 加 密 ， 然 后 用 第 二 个 密 钥 解密 ， 最 后 再 用 第 一 个 密 钥 加 密 。 接 收 者 首先 用 第 一 
密 钥 解密 ， 然 后 用 第 二 个 密 钥 加 密 ， 最 后 再 用 第 一 个 密 钥 解 密 。 

C= Ex, (Dx, (Ex, (P))) 
P = Dx, (Ex, (Dx, (C))) 

这 种 工作 模式 有 时 叫做 加 密 - 解 密 - 加 密 (Encrypt-Decrypt-Encrypt, EDE) R, 
如 果 分 组 算法 有 一 个 茎 位 密 钥 ， 那 么 用 这 种 方法 将 有 2n 位 密 钥 。IBM 描述 了 这 种 新 颖 的 加 
密 - 解 密 - 加 密 模 式 与 算法 的 传统 实施 之 间 的 兼容 性 : 如 果 设 定 K 等 于 K, ， 这 种 加 密 方法 与 
传统 加 密 方 法 只 用 一 个 密 钥 加 密 相同 。 在 加 密 -解密 -加 密 模 式 下 ， 它 自身 并 没有 多 少 安全 
性 ,但 这 种 模式 在 X9. 17 和 ISO 8732 标准 “中 被 用 于 改进 DES 算法 。 

K, 和 Ky 轮流 使 用 是 用 于 抵抗 中 间 相 遇 攻 击 。 假 设 C= Ex, (Ex, (Ex, (P)))， eit 
密码 分 析 者 先 要 对 每 一 个 可 能 的 Ki 计算 出 Ex, (Ex, (P)). 然后 再 对 它 进行 攻击 。 a 
2 次 加 密 。 

用 两 个 密 钥 进行 三 重 加 密 不 会 受到 前 文 所 述 的 中 间 相 遇 攻 击 的 影响 。 但 是 Merkle 和 
Hellman 研究 了 另 一 种 时 间 - 存 储 折 中 办 法 ， 它 只 需 2" 个 分 组 的 存储 空间 和 2" 步 就 可 攻破 

这 种 技术 "1。 

对 每 一 个 可 能 的 密 钥 K;， 对 0 做 解密 运算 ， 并 将 结果 存储 在 存储 器 中 ， 然 后 对 每 一 
可 能 的 密 钥 K; ， 对 0 做 解密 运算 ,得 到 P。 对 PP 作 三 重 加 密 ， 得 到 C， 然 后 用 K 解密 
如 果 解 密 结果 与 用 某 一 个 密 钥 K, 解密 0 得 到 的 结果 (存储 在 存储 器 中 ) 相同 ， 那 么 K 和 
K: 密 钥 对 可 能 是 所 需要 的 结果 。 检 验 它 是否 是 正确 的 结果 ， 如 果 不 是 ， 继 续 寻 找 ，。 

以 上 是 选择 明文 攻击 ， 需 要 选择 大 量 的 明文 。 它 需要 2" 次 操作 和 存储 空间 ， 并 且 需 要 
2” 个 选择 明文 。 这 种 攻击 不 是 很 实际 ， 但 是 这 是 一 个 弱点 。 

Paul van Oorschot 和 Michael Wiener 将 这 种 攻击 方法 更 改 成 已 知 明文 攻击 ， 需 要 pA 
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已 知 明 文 。 对 于 EDE 模式 ， 这 种 攻击 的 例子 描述 如 下 。 
(1) 假设 第 一 个 中 间 值 为 a。 
(2) 对 于 每 一 个 可 能 的 并 ， 用 第 一 个 中 间 值 xc 和 已 知 明文 计算 出 第 二 个 中 间 值 6， 然后 
将 K! 和 2 制作 成 表 : 
b = Dx, (C) 
其 中 C 是 已 知 明文 加 密 的 密 文 结果 。 
(3) 对 于 每 一 个 可 能 的 密 钥 K;， 在 表 中 依次 查看 ， 找 到 第 二 个 中 间 值 %。， 使 得 
` b = Ex, (a) 
(4) 这 种 方法 成 功 的 概率 为 p/m， 其 中 p 是 已 知 明文 的 数量 ，m 是 分 组 长 度 。 如 果 没 
有 找到 相 匹 配 的 5 值 ， 那么 男 外 找 一 个 a。， 再 重复 以 上 操作 。 
这 种 攻击 需要 2""/p 次 操作 和 p 存储 空间 。 对 于 DES， 该 值 为 2”/ pn” 。 因 为 p>256, 
所 以 这 种 攻击 比 穷 举 攻击 快 。 


15.2.2 用 三 个 密 钥 进行 三 重 加 密 
如 果 你 准备 使 用 三 重 加 密 ， 那 么 建议 你 使 用 三 个 不 同 的 密 钥 。 虽 然 增加 了 密 钥 的 长 度 ， 
但 是 因为 只 是 多 了 一 些 位 ， 所 以 密 钥 的 存储 并 不 困难 。 
C= Bg (Dr, Er, (PI) 
P = Dy (Ex, (Dr, (C))) 
对 于 这 种 加 密 模 式 ， 最 好 的 时 间 -存储 折 中 攻击 是 中 间 相 遇 攻 击 ""” ， 它 需要 花费 2” 步 
运算 ， 并 且 需 要 2" 个 存储 分 组 。 用 三 个 独立 密 钥 进行 三 重 加 密 ， 与 我 们 所 期 望 的 双重 加 密 
的 安全 性 一 样 。 


15.2.3 用 最 小 密 钥 进行 三 重 加 密 
还 有 一 个 用 两 个 密 钥 进行 三 重 加 密 ， 并 且 能 抵抗 前 文 所 述 攻 击 的 安全 方法 ， 它 就 是 用 最 
小 密 钥 进 行 三 重 加 密 (Triple Encryption with Minimum Key，TEMK)5s5 。 其 诀窍 在 于 用 
两 个 密 钥 Xi 和 X 产生 三 个 密 钥 。 
K, = Ex, (Dx, (Ex, (T:))) 
K, = Ex, (Dx, (Ex, (Ts))) 
K, = Ex, (Dx, (Ex, (T3))) 
Ti. TAT: 是 常数 ， 完 全 没有 必要 保密 。 对 于 特殊 的 密 钥 这 是 一 个 专门 的 结构 。 对 
它 最 好 的 攻击 是 已 知 明文 攻击 。 


15.2.4 三 重 加 密 模式 
这 些 并 不 是 所 有 的 三 重 加 密 ， 只 是 一 些 实现 方法 。 应 根据 安全 性 和 效率 决定 使 用 哪 一 种 
方法 。 这 里 给 出 了 两 个 可 能 的 三 重 加 密 模式 : 
。 内 部 CBC (Inner-CBC): 用 CBC 方式 对 整个 文件 进行 三 次 不 同 的 加 密 〈 见 图 15-1a)。 
这 需要 三 个 不 同 的 IV 值 。 
C; = Ex, (S: @ Ci1),5; = Dr, (T: 511),T,; = Ex, P: OT) 
P: = T © Dx, (T), T; = Sir © Ex, (S:) 5S; = C © Dr, (C,) 
其 中 Co, So 和 T 都 是 初 值 IV。 
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。 外 部 CBC (Outer-CBC): 用 CBC 方式 对 整个 文件 进行 三 重 加 密 〈 见 图 15-1b)。 需 
要 一 个 IV 值 。 
C, = Ex, (Dx, (Ex, (P: ®C;1))) 
P; = Ca ® Dx, (Ex, (Dx, (CD))) 
这 两 种 模式 都 比 单 重 加 密 需 要 更 多 的 资源 : 更 多 的 硬件 或 时 间 。 然 而 ， 如 果 将 内 部 
CBC 方式 制作 成 加 密 芯 片 ， 其 加 密 并 不 比 单 重 加 密 慢 。 因 为 3 次 加 密 是 独立 的 ， 每 重 加 密 
是 自 反 馈 的 ， 所 以 3 块 加 密 芯 片 可 以 同时 独立 地 工作 。 
































a) 内 部 CBC b) 外 部 CBC 
图 15-1 CBC 模式 下 的 三 元 加 密 流程 


另 一 方面 ， 外 部 CBC 中 反馈 是 在 3 次 加 密 之 后 。 这 意味 着 即使 使 用 3 块 芯片 ， 其 处 理 
能 力也 只 有 单 重 加 密 的 1/3。 要 用 外 部 CBC 方式 得 到 同样 的 处 理 能 力 ， 需 要 交替 IV 值 ( 参 
见 9.12 节 ): 

C: = Ex, (Dx, (Ex, (Pi OCD 
ZE, Co. CaM CRE IV. CPT AR aE Ei OR AE oT FB. BRE RA GL 
并 行 运算 。 

不 幸 的 是 ， 简 单 加 密 模式 的 保密 性 也 差 。Biham 对 不 同 模式 进行 选择 密 文 差分 分 析 ， 发 
现 内 部 CBC 方式 比 单 重 加 密 安全 性 要 好 一 点 。 如 果 将 三 重 加 密 作为 一 个 较 大 的 单 重 加 密 算 
法 来 考虑 ， 然 后 将 一 些 客观 数据 和 已 知 信息 作为 内 部 反馈 数据 引入 算法 的 运算 中 ， 算 法 分 析 
起 来 就 会 变 得 容易 些 。 差 分 分 析 需 要 大 量 的 选择 密 文 ， 这 很 不 现实 ， 足 以 使 密码 破译 者 望 而 
却步 。 对 于 中 间 相 遇 攻 击 和 穷 举 攻击 ， 它 们 的 安全 性 相同 。 

还 有 一 种 模式 。 你 可 以 用 ECB 方式 对 整个 文件 加 密 一 次 ， 然 后 用 CBC 方式 加 密 两 次 ; 
或 者 用 CBC 方式 加 密 一 次 ， 然 后 用 ECB 方式 加 密 一 次 ， 最 后 用 CBC 方式 再 加 密 一 次 ; 或 
者 用 CBC 方式 加 密 两 次 ， 再 用 ECB 方式 加 密 一 次 。Biham 表明 这 些 变型 抗 选择 明文 差分 分 
析 攻 击 的 能 力 并 不 比 单 重 DES 强 5s9 。 并 且 ， 他 对 其 他 变型 也 不 抱 任何 希望 。 如 果 要 使 用 三 
重 加 密 ， 可 以 用 外 部 反馈 模式 。 


15.2.5 三 重 加 密 的 变型 
在 证 明 DES 不 能 形成 群 之 前 ， 人 们 提出 了 一 些 多 重 加 密 方法 。 一 个 保证 三 重 加 密 不 变 
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弱 成 单 重 加 密 的 方法 是 改变 有 效 分 组 长 度 。 一 个 简单 的 方法 是 加 一 小 段 填充 。 用 一 串 长 度 为 
分 组 长 度 一 半 的 随机 位 填充 文本 ， 填 充 位 于 第 一 次 和 第 二 次 加 密 以 及 第 二 次 和 第 三 次 加 密 之 
lit] 〈 见 图 15-2) 。 假 设 p 是 填充 函数 ， 那 么 : 
C = Ex, (pCEx, (pCEx, (P))))) 
CHCA LT AL RAMA, MARR. EMI SPAKE 


pain T 人 















































图 15-2 带 填 充 的 三 重 加 密 


Carl Ellison 提出 了 男 一 种 技术 ， 就 是 在 三 次 加 密 之 间 用 一 些 无 密 钥 置换 函数 。 这 些 
换 能 够 处 理 较 大 的 分 组 (大约 8KB)， 并 且 能 够 给 出 8KB 分 组 的 一 个 有 效 变 型 。 apam 
换 很 快 ， 那 么 这 种 变型 不 会 比 基 本 的 三 重 加 密 慢 。 

C = Ex, (T(Ex, (PE, (P))))) 

工 收集 输入 的 一 个 分 组 〈 长 度 可 达到 8KB) ， 并 用 一 个 伪 随 机 数 发 生 器 来 转换 它 。 输 
入 中 1 位 发 生 改 变 ， 在 第 一 次 加 密 后 将 引起 输出 中 8 字 节 的 改变 ， 第 二 次 加 密 后 至 少 有 
64 字 节 发 生 改 变 ， 第 三 次 加 密 后 至 少 有 512 字 节 发 生 改 变 。 如 果 每 一 个 分 组 算法 都 用 
CBC 方式 ， 那 么 输入 中 1 位 发 生 了 变化 ， 将 会 影响 整个 8SKB 数据 分 组 ， 甚 至 与 原始 数据 
分 组 完全 不 同 。 

针对 Biham 对 内 部 CBC 的 攻击 ， 这 个 方案 的 最 新 变型 包括 用 一 个 随机 过 程 来 隐藏 明文 。 
这 个 随机 过 程 是 一 个 序列 与 一 个 被 称 为 R 的 密码 学 上 安全 的 随机 数 发 生 器 相 异 或 。 任 意 一 
边 的 工 都 可 以 阻止 密码 分 析 者 知道 这 个 先 验 〈priori)， 这 个 先 验 的 密 钥 过 去 常常 用 于 加 密 
最 后 一 次 加 密 的 输入 中 的 任何 给 定 字 节 。 第 二 次 加 密 这 里 表示 为 naE (用 n 个 不 同 的 密 钥 循 
环 加 密 ) : 

C = Ex, (R(T(nEx, (T(Ex, (R)))))) 

所 有 的 加 密 都 用 ECB 方式 ， 并 且 提 供 至 少 n+ 2 个 加 密 密 钥 和 密码 上 安全 的 随机 数 发 
HE ait o 

这 种 方法 为 DES 设计 ， 但 是 适用 于 任何 分 组 密码 算法 。 我 还 不 知道 关于 这 种 方式 安全 
性 的 分 析 。 


15.3 ”加倍 分 组 长 度 
在 一 些 学 术 团体 中 ， 对 64 位 分 组 是 否 足 够 长 展开 了 讨论 。 一 方面 ，64 位 分 组 长 度 仅仅 
将 明文 扩散 到 8 字 节 的 密 文 中 。 另 一 方面 ， 更 长 的 分 组 使 得 安全 地 隐藏 模式 更 加 困难 ， 产 生 
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错误 的 机 会 也 更 大 。 

有 些 人 建议 采用 多 重 加 密 的 方法 将 密码 算法 的 分 组 长 度 加 倍 ” 。 在 实施 这 些 方法 之 
前 ， 需 要 寻找 中 间 相 遇 攻 击 的 可 能 性 。 根 据 Richard Outerbridge Wit 〈 见 图 15-3), 
它 并 不 比 单 重 加 密 和 用 两 个 密 钥 进行 三 重 加 密 安全 。 








` 图 15-3 加 倍 分 组 长 度 


然而 ， 我 不 赞成 这 种 做 法 。 它 并 不 比 传统 的 三 重 加 密 快 : 加 密 两 个 数据 分 组 仍然 需要 加 
密 6 次。 我 们 都 知道 三 重 加 密 的 特征 ， 像 这 种 结构 常常 隐 含 了 一 些 问题 。 


15.4 其 他 多 重 加 密 方案 


用 两 个 密 钥 进行 三 重 加 密 的 问题 仅仅 在 于 将 密 钥 空间 加 大 了 一 倍 ， 但 是 每 个 明文 分 组 需 
要 进行 3 次 加 密 。 能 和 否 找到 一 些 办 法 只 进行 两 次 加 密 即 可 将 密 钥 空间 加 倍 呢 ? 


15. 4. 1 双重 OFB/ 计 数 器 
这 种 方法 采用 分 组 算法 产生 两 个 密 钥 序 列 来 加 密 明文 。 
S: = Ek (Sa L), h=h+1 
T: = Ex, (Ti L) L=h+1 
C =P OS OT; 
SAT; 是 内 部 变量 ， LA I, 是 计数 器 。 分 组 算法 的 两 个 副本 运行 在 一 种 混合 的 OFB/ 计 数 
器 模式 下 ， 并 且 明 文 、S;、T; 一 起 进行 异 或 运算 。 两 组 密 钥 K 和 K 相互 独立 。 我 还 不 知 
道 有 关 这 种 变型 的 密码 分 析 。 


15.4.2 ECB+OFB 


这 种 方法 用 于 加 密 长 度 固定 的 多 个 消息 ， 如 磁盘 分 组 0" 。 使 用 两 个 密 钥 K! 和 
K;。 首 先 用 算法 和 K, 产生 一 个 所 需 分 组 长 度 的 掩 码 ， 并 用 同样 的 密 钥 和 该 掩 码 循环 加 密 
消息 。 然 后 ， 将 明文 消息 与 该 掩 码 异 或 。 最 后 ， 用 算法 和 K: 采用 ECB 方式 加 密 异 或 后 的 
明文 。 
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这 种 模式 的 分 析 没 有 在 提出 该 方法 的 报刊 上 发 表 出 来 。 显 然 ， 它 至 少 与 ECB 加 密 方式 
一 样 安全 ， 并 且 可 能 与 用 算法 处 理 两 次 一 样 安 人 全。 也许， 如 果 用 相同 密 钥 加 密 某 些 已 知 明 
文 ， 那 么 密码 分 析 者 能 够 找到 这 两 个 相互 独立 的 密 钥 。 

为 了 阻碍 对 不 同 消息 同一 个 位 置 的 相同 分 组 的 分 析 ， 可 以 添加 一 个 IV。 不 同 于 其 他 任 
何 模式 下 的 IV， 这 里 的 IV 在 进行 ECB 方式 加 密 以 前 与 消息 中 的 每 一 个 分 组 异 或 。 

Matt Blaze 为 他 的 UNIX 密码 文件 系统 (CFS) 设计 了 这 种 模式 。 这 是 一 种 好 的 加 密 模 
式 ， 因 为 仅 采用 了 一 次 ECB 方式 加 密 ， 并 且 掩 码 能 够 在 每 次 加 密 时 产生 和 存储 。 在 CFS 
H, RH DES 作为 分 组 算法 。 


15. 4.3  xDES' 


在 文献 (1644, 1645] F, DES 被 用 作 基 本 分 组 模块 ， 构 成 一 系列 有 和 较 长 密 钥 和 较 长 分 组 
的 分 组 密码 算法 。 这 些 结构 在 任何 方式 下 都 不 依靠 DES， 并 且 能 够 用 于 任何 分 组 密码 算法 。 

首先 ，xDES! 是 一 个 简单 地 将 分 组 密码 作为 基本 函数 的 Luby-Rackoff 结构 (参见 
14.11 节 )。 分 组 长 度 是 基本 分 组 密码 的 两 倍 ， 密 钥 长 度 是 基本 分 组 密码 的 3 倍 。 在 三 轮 中 
的 每 一 轮 ， 用 分 组 算法 和 一 个 密 钥 加 密 右 半 部 分 ， 然 后 与 左 半 部 分 异 或 ， 并 将 两 部 分 交换 。 

它 比 传统 的 三 重 加 密 快 ， 因 为 三 次 加 密 过 程 只 需 对 与 基本 算法 具有 同样 长 度 的 分 组 进行 
两 次 加 密 。 但 是 中 间 相 遇 攻 击 可 以 用 2* 长 的 表 找 到 密 钥 ， 这 里 & 是 基本 密码 算法 的 密 钥 长 
度 。 用 所 有 可 能 的 K, 来 加 密 明文 分 组 的 右 半 部 分 ， 然 后 与 明文 的 左 半 部 分 异 或 ， 并 且 将 这 
些 值 存放 于 表 中 。 然 后 ， 用 所 有 可 能 的 K; 值 加 密 明 文 的 右 半 部 分 并 在 表 中 寻找 与 之 相 匹 配 
WE. WREST. ABA K AK; 可 能 是 正确 的 密 钥 。 将 这 样 的 攻击 重复 多 次 ， 就 可 以 找 
到 一 个 唯一 的 结果 。 这 表明 DES 不 是 一 个 理想 的 解决 方案 。 更 糟 的 是 ， 有 一 种 选择 明文 
攻击 可 以 证 明 xDES! 还 不 如 基本 加 密 密 码 的 强度 高 ss] 。 

xDES: 将 这 种 思路 推广 到 5 轮 算法 ， 其 分 组 长 度 是 基本 分 组 密码 的 4 倍 ， 密 钥 长 度 是 基 
本 分 组 密码 的 10 倍 。 图 15-4 是 xDES 的 一 轮 ，4 个 子 分 组 中 每 一 个 分 组 的 长 度 都 是 基本 分 
组 密码 的 长 度 ， 并 且 所 有 10 个 密 钥 都 是 独立 的 。 











图 15-4 xDES’ 


这 种 方法 也 比 三 重 加 密 快 : 加 密 一 个 4 倍 于 基本 分 组 密码 的 分 组 将 进行 10 次 加 密 运 算 。 
然而 ， 它 易 受 差分 分 析 的 攻击 ， 所 以 不 应 该 使 用 。 即 使 DES 使 用 了 相互 独立 的 轮 密 钥 ， 
这 种 方法 也 易 受 攻击 。 

当 i>3 时 ，xDES 可 能 太 大 而 不 适合 作为 一 个 分 组 算法 。 例 如 ，xDES? 的 分 组 长 度 是 
基本 分 组 密码 的 6 倍 ， 密 钥 的 长 度 是 它 的 21 倍 ， 并 且 加 密 一 个 6 倍 于 基本 分 组 密码 的 分 组 
将 进行 21 次 加 密 运 算 。 三 重 加 密 要 快 一 些 。 
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15.4.4 REWE 


如 果 三 重 加 密 还 不 够 安全 〈 也 许 你 需要 用 一 个 强度 更 高 的 算法 来 加 密 三 重 加 密 的 密 钥 )， 
那么 更 高 重 加 密会 更 适宜 一 些 。 对 付 中 间 相 遇 攻 击 ， 五 重 加 密 的 强度 足够 (对 类 似 双重 加 密 
的 一 些 讨 论 表明 四 重 加 密 在 三 重 加 密 的 基础 上 提供 了 最 小 的 改进 )。 

Ca Es Wy, Er, (Dy, Che (PID 
P = Dy, (Ex, (Dr, (Ex, (Dx, (C990) 

在 这 种 结构 中 ， 如 果 K: 二 Ks， 那 么 它 等 同 于 三 重 加 密 ; WR K =K: =K, RAGS 

同 于 单 重 加 密 。 当 然 ， 如 果 5 个 密 钥 相 互 独立 ， 那 么 其 强度 将 更 高 。 


15.5 缩短 CDMF #48 


这 种 方法 是 IBM 公司 为 他 们 的 商业 数据 加 密 设备 或 CDMF (参见 24. 8 节 ) 设计 的 ， 它 
将 出 口 机 器 中 的 56 位 DES 密 钥 缩短 成 40 位 5 。 它 假定 原始 的 DES 密 钥 包含 校 验 位 。 

(1) 将 以 下 位 赋 0: 8、16、24、32、40、48、56 、64。 

(2) 用 DES 和 密 钥 0xc408b0540bale0ae 加 密 第 (1) 步 的 输出 ， 并 且 与 第 O 步 的 结 
RRM. 

(3) 得 到 第 (2) 步 的 输出 ， 并 且 将 以 下 位 赋 0: 1, 2. 3, 4, 8, 16, 17, 18, 19, 
20, 24, 32, 33, 34, 35, 36, 40, 48, 49, 50, 51, 52, 56, 64. 

(4) 用 DES 和 密 钥 0xef2c041ce6382fe6 加 密 第 (3) 步 的 输出 。 然 后 ， 将 这 个 密 钥 用 于 
加 密 消 息 。 

这 种 方法 缩短 了 密 钥 的 长 度 ， 因 此 它 减弱 了 算法 。 


15.6 白化 

白化 (whitening) 是 将 分 组 密码 算法 的 输入 与 一 部 分 密 钥 异 或 ， 并 且 将 其 输出 与 男 一 
部 分 密 钥 异 或 的 技术 。 这 种 技术 首先 被 RSA 数据 安全 公司 用 在 DESX 的 变型 中 ， 然 后 
(可 能 是 独立 地 ) 用 在 Khufu 和 Khafre F. (Rivest 对 这 种 技术 命名 ， 这 个 词 的 用 法 不 
标准 。) 

这 种 方法 是 想 阻 止 密码 分 析 者 在 已 知 基本 密码 算法 的 前 提 下 获得 一 组 明文 / 密 文 对 。 这 
种 技术 人 迫使 密码 分 析 者 不 仅 要 猜 出 算法 密 钥 ， 而 且 必 须要 猜 出 白化 值 中 的 一 个 。 因 为 在 分 组 
算法 前 后 都 有 一 个 异 或 运算 ， 所 以 这 种 技术 不 会 受到 中 间 相 遇 攻 击 的 影响 。 

C= K, ® Ex, (P ® K1) 
P = K, © Dx, (C@K;) 

如 果 Ki 二 Ks3， 那 么 穷 举 攻击 需要 2 Re, Hn BRAKE, m 是 分 组 长 度 ,， Zp 
是 已 知 明文 的 数量 。 如 果 K AK, 不 同 ， 那 么 用 三 个 已 知 明文 进行 穷 举 攻击 需要 2 ” 次 
运算 。 这 种 方法 在 防 差 分 攻击 和 线性 攻击 时 只 能 保护 很 少 一 些 密 钥 。 但 是 从 运算 上 来 说 ， 这 
是 一 种 增加 算法 安全 性 非常 廉价 的 方法 。 


15.7 级 联 多 重 加 密 算法 


用 算法 A ARK, 加 密 一 个 消息 ， 然 后 用 算法 BARAK, 再 加 密 ， 情 况 会 怎样 呢 ? 
也 许 Alice 和 Bob 对 这 个 问题 会 有 不 同 的 意见 : Alice 想 用 A， 而 Bob 想 用 B。 这 种 技术 有 
时 叫做 级 联 (cascading)， 并 且 已 经 扩展 到 远 远 超过 两 个 密码 算法 和 密 钥 。 
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悲观 主义 者 会 说 两 个 密码 算法 在 一 起 运行 对 增加 安全 性 没有 保证 。 两 个 算法 之 间 微 妙 的 
交换 也 许 会 降低 其 安全 性 。 甚 至 用 三 个 不 同 的 算法 进行 三 重 加 密 也 许 并 没有 你 想象 的 那么 安 
全 。 密 码 是 一 种 黑色 艺术 ， 如 果 你 不 知道 你 正在 干什么 ， 你 将 很 容易 陷入 困境 。 

现实 比较 乐观 一 些 。 如 果 不 同 的 密 钥 相 互相 关 ， 那么 真 的 需要 上 述 的 警告 。 如 果 所 有 的 
多 重 密 钥 都 是 相互 独立 的 ， 那 么 级 联 抗 破译 性 至 少 与 级 联 中 第 一 个 算法 一 样 强 。 如 果 第 二 个 
算法 易 受 选择 明文 攻击 ， 那 么 当 使 用 级 联 时 ， 第 一 个 算法 攻击 起 来 就 容易 一 些 ， 并 且 第 二 个 
算法 易 受 已 知 明文 攻击 。 这 种 潜在 的 攻击 在 密码 算法 上 是 不 允许 的 : 如 果 在 加 密 前 你 想 让 其 
他 某 个 人 指定 某 个 算法 来 加 密 消息 ， 那 么 你 最 好 确信 加 密 将 能 抵抗 选择 明文 攻击 〈 注 意 ， 加 
密 前 最 常 使 用 的 压缩 和 数字 化 算法 是 CELP 一 一 由 NSA 设计 ) 。 

这 能 更 好 地 用 短语 表达 : 使 用 选择 明文 攻击 时 ,级 联 加 密 至 少 比 它 的 组 成 部 分 难于 破 
PRU  。 前 面 的 结果 表明 ; 级 联 加 密 至 少 与 最 强 的 算法 一 样 难 于 破译 ,但 是 这 一 结论 基于 一 
些 不 明确 的 假定 。 仅 当 算法 做 过 一 些 处 理 ， 如 级 联 序列 密码 的 情形 (或 分 组 密码 的 OFB 
工作 方式 )， 级 联 至 少 与 最 强 的 算法 一 样 难以 攻破 。 

如 果 Alice 和 Bob 相互 都 不 信任 对 方 的 算法 ， 他 们 可 以 用 级 联 的 方式 。 如 果 是 序列 密码 
算法 ， 那 么 其 顺序 就 没有 关系 ; 如 果 是 分 组 密码 算法 ，Alice 首先 用 算法 A， 然 后 Bob 用 算 
法 B. Bob 更 相信 算法 B 一 些 ,， 他 可 以 用 算法 A 以 后 ， 接 着 用 算法 B。 他 们 甚至 可 以 在 两 个 
密码 算法 之 间 加 一 个 较 好 的 序列 密码 ， 这 并 不 会 对 其 产生 危害 并且 能 更 好 地 增加 其 安 
全 性 。 

记 住 ， 在 级 联 中 每 个 算法 的 密 钥 是 相互 独立 的 。 如 果 算 法 A 有 一 个 64 位 密 钥 并 且 算 法 
B 有 一 个 128 位 密 钥 ， 那 么 级 联 就 有 192 位 密 钥 。 如 果 你 没有 用 相互 独立 的 密 钥 ， 那 么 悲观 
主义 者 的 担心 就 更 正确 了 。 


15.8 组 合 多 重 分 组 算法 


这 里 还 有 一 个 组 合 多 重 分 组 算法 的 方法 ， 它 能 够 保证 组 合 后 的 算法 至 少 与 两 个 算法 具有 
相同 的 安全 性 。 它 使 用 两 个 算法 〈 和 两 个 独立 的 密 钥 ) : 

(1) 产生 一 个 随机 的 位 序列 R， 其 长 度 与 消息 M 的 长 度 一 样 。 

(2) 用 第 一 个 算法 加 密 R. 

(3) 用 第 二 个 算法 加 密 M 旬 R。 

(4) 第 (2) 步 和 第 (3) 步 的 结果 就 是 密 文 。 

假定 随机 位 序列 是 真正 随机 的 ， 这 种 方法 用 一 次 填充 加 密 M， 然 后 加 密 两 次 填充 和 用 
两 个 算法 加 密 后 的 消息 。 因 为 都 需要 重建 M， 所 以 密码 分 析 者 必须 攻破 两 个 算法 。 其 缺点 
是 密 文 长 度 是 明文 长 度 的 两 倍 。 

这 种 方法 能 够 扩展 到 多 个 算法 ， 但 是 密 文 被 每 一 个 附加 的 算法 加 密 。 这 是 一 个 好 办 法 ， 
但 并 不 现实 。 
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16. 1 线性 同 余 发 生 器 


线性 同 余 发 生 器 (linear congruential generator) 是 
X, = (aX, 1 二 bmod m 

形式 的 伪 随 机 序列 发 生 器 ， 其 中 X, 是 序列 的 第 n 个 数 ，X,_1 是 序列 的 第 n 一 1 SR, Bit 
a、b、m 是 常数 ，a HHA (multiplier), b 是 增 量 (increment), m 是 模 。 密 钥 ， 也 即 种 子 
是 初始 值 Xoo 

这 种 发 生 器 的 周期 不 会 超过 m。 如 果 a、&b 和 m 都 是 可 选 的 ， MAR ARK E—TRA 
周期 发 生 器 (maximal period generator， 有 了 时 也 叫做 最 大 长 度 )， 周 期 为 m (例如 ,5b 是 与 m 
相关 的 素数 )。 在 选择 常数 时 需要 仔细 ， 以 保证 能 找到 最 大 的 周期 ”1 。 关 于 线性 同 余 发 
生 器 及 其 理论 的 另外 一 篇 好 文章 是 [1446]. 

表 16-1 取 自 [1272]， 它 给 出 了 线性 同 余 发 生 器 的 好 的 常数 。 它 们 都 能 产生 最 大 周期 发 
生 器 ， 更 重要 的 ， 它 们 都 能 通过 2 维 、3 维 、4 维 、5 维和 6 维 的 随机 性 频谱 检验 [8s5 ss 。 这 
张 表 按 不 超过 特定 字 长 的 最 大 乘积 来 组 织 。 


表 16-1 线性 同 余 发 生 器 常数 








溢出 位 置 a b m 

220. 106 1 283 6 075 228 1 277 24 749 117 128 
221 211 1 663 7 875 741 66 037 312 500 
22 421 1 663 7 875 2041 25 673 121 500 
ges 430 2531 11979 229 2311 25 367 120 050 
936 1 399 6 655 1 807 45 289 214 326 

1 366 1 283 6 075 1597 51 749 244 944 

ae 171 11 213 53 125 1 861 49 297 233 280 
859 2531 11979 2 661 36 979 175 000 

419 6173 29 282 4081 25 673 121 500 

967 3041 14 406 3 661 30 809 145 800 

225 141 28 411 134 456 290 3 877 29 573 139 968 
625 6571 31 104 3613 45 289 214 326 

1541 2957 14 000 1 366 150 889 714 025 

1741 2731 12 960 ga 8121 28 411 134 456 

1.291 4621 21 870 4561 51 349 243 000 

205 29 573 139 968 7141 54 773 259 200 

276 421 17 117 81 000 282 9 301 49 297 233 280 
1 255 6173 29 282 4 096 150 889 714 025 

281 28 411 134 456 288 2416 374 441 1771 875 

get 1 093 18 257 86 436 284 17 221 107 839 510 300 
421 54 773 259 200 36 261 66 037 312 500 

1 021 24 631 116 640 2985 84 589 45 989 217 728 





1021 25 673 121 500 
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线性 同 余 发 生 器 的 优点 是 : 速度 快 ， 每 位 只 需 很 少 的 运算 。 

然而 ， 线 性 同 余 发 生 器 不 能 用 在 密码 学 中 ， 因 为 它们 是 可 预测 的 。 线 性 同 余 发 生 器 首 
先 被 Jim Reeds Wk PENN), HR FG BE Joan Boyar 破译 5225 。 她 还 破译 了 二 次 同 余 发 
EA: 

X, = (aX?_, +X mı +c)mod m 
和 三 次 同 余 发 生 器 : 
X, = (aX? + bX} 二 TeX +d)mod m | 

另 一 些 研究 人 员 将 Boyar 的 成 果 扩 展 到 了 任意 多 项 式 同 余 发 生 器 "”**”*]。 截 短线 性 同 
余 发 生 器 ”和 未 知 参 数 的 截 短线 性 同 余 发 生 器 ”站 也 被 破译 。 上 述 证 据 表 明 ， 同 余 
发 生 器 在 密码 学 中 并 不 适用 。 

然而 线性 同 余 发 生 器 在 非 密码 学 应 用 中 得 到 了 使 用 ， 比 如 仿真 。 根 据 最 合理 的 经 验 测 
试 ， 它 们 是 有 效 的 ， 并 具有 很 好 的 统计 性 能 。 关 于 线性 同 余 发 生 器 和 实现 方面 的 重要 信息 可 
在 文献 [942] 中 找到 。 


组 合 线性 同 余 发 生 器 


许多 人 考察 了 组 合 线性 同 余 发 生 器 "“””“] 。 结 果 是 它 并 没有 增加 安全 性 ， 但 是 它 有 更 长 
的 周期 并 在 某 些 随 机 性 测试 方面 具有 更 好 的 性 能 。 
下 面 给 出 了 一 个 32 位 计算 机 使 用 的 发 生 器 "*"]: 


static long sl = 1; /* A “long” must be 32 bits long. */ static long s2 = 1 ; 


#define MODMULT(a,b,c,m,s) q = s/a; s = b*(s-a*q) - c*q; if (s<0) s+=m 
/* MODMULT(a,b,c,m,s) computes s*b mod m, provided that m=a*b+c and 0 <= c < m. * 


/* combinedLCG returns a pseudorandom real value in the range 
* (0,1). It combines linear congruential generators with 

* periods of 231-85 and 231-249, and has a period that is the 
* product of these two prime numbers. */ 


double combinedLCG ( void ) 
{ 

long q ; 

long Z ; 


MODMULT ( 53668, 40014, 12211, 2147483563L, s1 ) 
MODMULT ( 52774, 40692, 3791, 2147483399L, s2 ) 
Z = Bl = 52 ; 
46 ( 2 <1 ) 

Z += 2147483562 ; 
return z * 4.656613e-10 ; 


} 


/* In general, call initLCG before using combinedLCG. */ 
void initLCG ( long InitS1, long InitS2 ) 


InitS1 ; 
Inits2 ; 


n 
N 
"o 


当 计 算 机 能 够 表示 一 22 十 85 一 22 一 85 的 所 有 整数 时 ， 这 个 发 生 器 就 能 工作 。 变 量 % 和 
sz 是 全 局 变量 ， 它 们 保存 发 生 器 的 当前 状态 。 在 第 一 次 调用 前 ， 它 们 必须 被 初始 化 。 变 量 
的 初始 值 为 1 一 2 147 483 562， 变 量 * 的 初始 值 为 1 一 2 147 483 398， 这 个 发 生 器 在 某 些 地 方 
的 周期 能 够 达到 10 左右 。 

如 果 只 有 16 位 计算 机 ， 可 以 使 用 下 面 这 个 发 生 器 : 
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static int sl 1; /* An “int” must be 16 bits long. */ 


static int s2 = 1 ; 
static int s3 = 1 ; 
#define MODMULT (a,b,c,m,s) q = s/a; s = b*(s-a*q) - c*q; if 


(s<0) s+=m ; 


/* combined LCG returns a pseudorandom real value in the 
range 

* (0,1). It combines linear congruential generators with 

* periods of 215-405, 215-1041, and 2ł5-1111, and has a period 
* that is the product of these three prime numbers. */ 


double combinedLCG ( void ) 
{ 

int a j 

int z ; 


MODMULT ( 206, 157, 21, 32363, s1 ) 
MODMULT ( 217, 146, 45, 31727, 82 ) 
MODMULT ( 222, 142, 133, 31657, s3 ) 
Z = BL = s2 ; 


z == 32362 
Z += 83 ; 
if (221) 
Z += 32362 ; 


return z * 3.0899e-5 ; 


} 


/* In general, call initLCG before using combinedLCG. */ 
void initLCG ( int InitS1, int InitS2, Inits3 ) 


sl = InitSl ; 

s2 = InitS2 ; 

s3 = InitS3 ; 
} 


当 计 算 机 能 够 表示 一 32 363~32 363 的 所 有 整数 时 ， 这 个 发 生 髓 就 能 工作 。 变 量 sh s 
和 ss 是 全 局 变量 ， 它 们 保存 发 生 器 的 当前 状态 。 在 第 一 次 调用 前 ， 它 们 必须 被 初始 化 。 变 
量 s 的 初 值 为 1 一 32 362, Bes, WHA 1~31726, Bits, 的 初 值 为 1 一 31 656 。 这 个 发 
生 器 的 周期 是 1.6 义 10”。 

这 两 种 类 型 的 发 生 器 ， 线 性 同 余 常数 项 65 均 为 0。 


16.2 线性 反馈 移 位 寄存 器 


移 位 寄存 器 序列 用 于 密码 学 和 编码 理论 方面 已 有 很 多 报道 。 自 从 电子 时 代 开 始 以 来 ， 基 
于 移 位 寄存 器 的 序列 密码 已 经 广泛 地 用 于 军事 密码 学 中 。 

一 个 反馈 移 位 寄存 器 (feedback shift register) 由 两 部 分 组 成 : 移 位 寄存 器 和 反馈 函数 
(feedback function) 〈 见 图 16-1) 。 移 位 寄存 器 是 一 个 位 序列 。( 移 位 寄存 器 的 长 度 用 位 表示 ， 
如 果 它 是 n 位 ， 则 称 为 n 位 移 位 寄存 器 。〉 每 次 需要 1 位 ， 移 位 寄存 器 中 所 有 位 右 移 1 位 。 
新 的 最 左 端的 位 根据 寄存 器 中 其 他 位 计算 得 到 。 移 位 寄存 器 输出 的 1 位 常常 是 最 低 有 效 位 。 


移 位 寄存 器 的 周期 (period) 是 指 输 出 序 
v. perio B H z, 区 | 7 | é, i 1 E = 
列 密码 ， 因 为 这 容易 通过 数字 硬件 实现 。 


列 从 开始 到 重复 时 的 长 度 。 
密码 设计 者 喜欢 用 移 位 寄存 器 构造 序 | | | | 
本 书 仅 介绍 数学 原理 。 挪 威 政府 的 首席 密 

人 码 学 家 Ernst Selmer, 1965 年 研究 出 移 位 16-1 反馈 移 位 寄存 器 
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寄存 器 序列 的 理论 "1 | NSA 的 数学 家 Solomon Golomb, JH Selmer 和 他 自己 的 成 果 写 了 
一 本 书 [643]。 参 见 文献 (970, 971, 1647], 

最 简单 的 反馈 移 位 寄存 器 是 线性 反馈 移 位 寄存 器 (Linear Feedback Shift Register, 
LFSR) 〈 见 图 16-2)。 反 馈 函 数 与 寄存 器 中 的 某 些 位 简单 异 或 ， 这 些 位 叫做 抽 头 序列 (tap 
sequence), ， 有 时 也 叫做 Fibonacci 配置 (Fibonacci configuration). 。 因 为 这 是 一 个 简单 的 反 
馈 序 列 ， 所 以 大 量 的 数学 理论 都 能 用 于 分 析 LFSR。 密 码 设 计 者 喜欢 分 析 序 列 ， 确 保 它 们 是 
随机 并 充分 安全 的 。 在 密码 学 中 ，LFSR 是 移 位 寄存 器 中 最 普通 的 类 型 。 

图 16-3 所 示 为 4 位 LESR， 抽 头 位 置 在 第 1 位 和 第 4 位 ， 如 果 其 初始 值 为 1111， 那 么 在 
重复 之 前 能 够 产生 下 列 的 内 部 状态 序列 : 

Lida 

OL 

1011 

0101 

1010 

1101 

0110 

0011 

100l 

0100 

0010 

0001 

1000 

1100 

1110 
输出 序列 是 最 低 有 效 位 的 字符 串 : 

111101011001000. 

移 位 寄存 器 











‘GELB he 


图 16-2 线性 反馈 移 位 寄存 器 图 16-3 4 位 LFSR 


一 个 nn 位 LFSR 能 够 处 于 2" 一 1 个 内 部 状态 中 的 一 个 。 这 意味 着 ,理论 上 ,nn 位 LFSR 
在 重复 之 前 能 够 产生 2" 一 1 位 长 的 伪 随 机 序列 (是 2" 一 1 而 不 是 2”， 因 为 全 零 的 移 位 寄存 器 
将 使 LFSR 无 止境 地 输出 零 序 列 一 一 这 特别 没有 用 处 )。 只 有 具有 一 定 抽 头 序列 的 LFSR 才 
能 循环 地 通过 所 有 2" 一 1 个 内 部 状态 ， 这 个 输出 序列 称 为 m 序列 (m-sequence) 。 

为 了 使 LFSR 成 为 最 大 周期 的 LFSR， 由 抽 头 序列 加 上 常数 1 形成 的 多 项 式 必须 是 本 原 
多 项 式 模 2。 多 项 式 的 阶 是 移 位 寄存 器 的 长 度 。 一 个 nn 阶 本 原 多 项 式 是 不 可 约 多 项 式 ， 它 能 
整除 xz” 十 1 而 不 能 整除 x 十 1， 其 中 d 能 整除 2" 一 1 (参见 11. 3 节 )。 更 详细 的 数学 理论 
参见 文献 [643、1649、1648]。 

通常 ， 产 生 一 个 给 定 阶 数 的 本 原 多 项 式 模 2 并 不 容易 。 最 简单 的 方法 是 选择 一 个 随机 的 
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多 项 式 ， 然 后 测试 它 是 否 本 原 。 这 是 很 困难 的 (有 时 像 测 试 一 个 随机 数 是 否 素数 一 样 )， 但 
是 很 多 数学 软件 包 可 以 做 这 件 事 。 具 体 的 方法 见 文献 L970, 971]. 
Be 16-2 是 一 些 不 同 阶 数 的 本 原 多 项 式 模 DENS 4S TORS TNS 1272.81) ， 但 这 并 不 是 全 部 。 例 如 ， 
列 出 的 (32, 7, 5, 3, 2, 1, O 是 指 下 列 本 原 多 项 式 模 2: 
XY 十 TX 十 x 十 如 十 Xx 十 x 十 1 
很 容易 把 它 转变 成 最 大 周期 LFSR。 第 一 个 数 是 LFSR 的 长 度 ， 最 后 一 个 数 总 是 0， 所 以 可 
以 忽略 。 除 0 以 外 的 所 有 数字 指明 了 抽 头 序列 ， 这 些 抽 头 从 移 位 寄存 器 的 左边 开始 计数 。 简 
而 言 之 : 本 原 多 项 式 中 抽 头 的 阶 数 越 低 ， 越 靠近 移 位 寄存 器 的 左边 。 


R 16-2 一 些 本 原 多 项 式 模 2 


(1, 0) (31, 3, 0) (53, 6, 2, 1, 0) (76, 5, 4, 2, 0) 

(2, 1, 0) (31, 6, 0) (54, 8, 6, 3, 0) (77s Gs Bs 23 0) 

(3, 1, 0) (31, 7, 0) (54, 6, 5, 4, 3, 2, 0) (78, 7, 2, 1, 0) 

(4, 1, 0) (31, 13, 0) : (55, 24, 0) (79, 95 0) 

(5, 2, 0) (32, 7, 6, 2, 0) (55, 6, 2, 1, 0) (79, 4, 3, 2, 0) 

(6, 1, 0) (32, 7, 5, 3, 2, 1, 0) (56, 7, 4, 2, 0) (80, 9, 4, 2, 0) 

(7, 1, 0) (33, 13, 0) (BT's, 9) (805 75 55 35 25 Ls 0) 
(7, 3, 0) (33, 16, 4, 1, 0) (57s. Bs 35 2s 0) (81, 4, 0) 

(8, 4, 3, 2, 0) (34, 8, 4, 3, 0) (58, 19, 0) (82, 9, 6, 4, 0) 

(9, 4, 0) (34, 7, 6, 5, 2, 1, 0) (58, 6, 5, 1, 0) (82, 8, 7, 6, 1, 0) 
(10, 3, 0) (35, 2, 0) (59, 75 4, 2, 0) (83, 7, 4, 2, 0) 

(11, 2, 0) (36, 11, 0) (59, 6, 5, 4, 3, 1, 0) (84, 13, 0) 

(12, 6, 4, 1, 0) (36, 6, 5, 4, 2, 1, 0) (60, 1, 0) (84, 8, 7, 5, 3, 1, 0) 
(13, 4, 3, 1, 0) (37, 6, 4, 1, 0) (61, 5, 2, 1, 0) (85, 8, 2, 1, 0) 

(14, 5, 3, 1, 0) (37, 5, 4, 3, 2, 1, 0) (62, 6, 5, 3, 0) (86, 6, 5, 2, 0) 

(15, 1, 0) (38, 6, 5, 1, 0) (63, 1, 0) (87, 13, 0) 

(16, 5, 3, 2, 0) (39, 4, 0) (64, 4, 3, 1, 0) (87, 7, 5, 1, 0) 

(17, 3, 0) (40, 5, 4, 3, 0) (65, 18, 0) (88, 11, 9, 8, 0) 

(17, 5, 0) (41, 3, 0) (65, 4, 3, 1, 0) (88, 8, 5, 4, 3, 1, 0) 
(17; 6, 0) (42, 7, 45 3, 0) (66, 9, 8, 6, 0) (89, 38, 0) 

(18, 7, 0) (42, 5, 4, 3, 2, 1, 0) (66, 8, 6, 5, 3, 2, 0) (89, 51, 0) 

(18, 5, 2, 1, 0) (43, 6, 4, 3, 0) (67, 5, 2, 1, 0) (89, 6, 5, 3, 0) 

(19, 5, 2, 1, 0) (44, 6, 5, 2, 0) (68, 9, 0) (905 Se By Ze Od 

(20, 3, 0) (45, 4, 3, 1, 0) (68, 7, 5, 1, 0) (91, 8, 5, 1, 0) 

(21, 2, 0) (46; Ba Ti G5 (0) (69, 6, 5, 2, 0) (91, 7, 6, 5. 3, 2, 0) 
(22, 1, 0) (46, 8, 5, 3, 2, 1, 0) (70, 5, 3, 1, 0) (92, 6, 5, 2, 0) 

(23, 5, 0) (47, 5, 0) (71, 6, 0) | (93, 2, 0) 

(24, 4, 3, 1, 0) (48, 9, 7, 4, 0) C71,; 55, 34 is 0) (94, 21, 0) 

(25, 3, 0) (48, 7, 5, 4, 2, 1, 0) (72, 10, 9, 3, 0) (94, 6, 5, 1, 0) 

(26, 6, 2, 1, 0) (49, 9, 0) (72, 6, 4, 3, 2, 1, 0) (95, 11, 0) 

(27, 5, 2, 1, 0) (49, 6, 5, 4, 0) (73, 25, 0) (95, 6, 5, 4, 2, 1, 0) 
(28, 3, 0) (50, 4, 3, 2, 0) (73, 4, 3, 2, 0) (96, 10, 9, 6, 0) 

(29, 2, 0) (51, 6, 3, 1, 0) (74, 7, 4, 3, 0) (96, 7, 6, 4, 3, 2, 0) 


(30, 6, 4, 1, 0) (52, 3, 0) (75, 6, 3, 1, 0) (97, 6, 0) 
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(98，11，0) (133, 9, 8, 2, 0) (159, 34, 0) (231, 26, 0) 
(98, 7, 4, 3, 1, 0) (134, 57, 0) (159, 40, 0) (231, 34, 0) 
(99, 7, 5, 4, 0) (135, 11, 0) (160, 5, 3, 2, 0) (234, 31, 0) 
(100, 37, 0) (135, 16, 0) (161, 18, 0) (234, 103, 0) 
(100, 8, 7, 2, 0) (135, 22, 0) (161, 39, 0) (236, 5, 0) 
(101, 7, 6, 1, 0) (136, 8, 3, 2, 0) (161, 60, 0) (250, 103, 0) 
(102, 65 3 0) (137, 21, 0) (162, 8, 7, 4, 0) (255, 52, 0) 
(103, 9, 9) (138, 8, 7, 1, 0) (163, 7, 6, 3, 0) (255, 56, 0) 
(104, 11, 10, 1, 0) (139, 8, 5, 3, 0) (164, 12, 6, 5, 0) (255, 82, 0) 
(105, 16, 0) (140, 29, 0) (165, 9, 8, 3, 0) (258, 83, 0) 
(106, 15, 0) (141, 13, 6, 1, 0) (166, 10, 3, 2, 0) (266, 47, 0) 
(107, 9, 7, 4, 0) (142, 21, 0) (167, 6, 0) (270, 133, 0) 
(108, 31, 0) (143, 5, 3, 2, 0) (170, 23, 0) (282, 35, 0) 
(109, 5, 4, 2, 0) (144, 7, 4, 2, 0) (172, 2, 0) (282, 43, 0) 
(110, 6, 4, 1, 0) (145, 52, 0) (174, 13, 0) (286, 69, 0) 
(111, 10, 0) (145, 69, 0) (175, 6, 0) (286, 73, 0) 
(111, 49, 0) (146, 5, 3, 2, 0) (175, 16, 0) (294, 61, 0) 
(113, 9, 0) (147, 11, 4, 2, 0) (175, 18, 0) (322, 67, 0) 
(113, 15, 0) (148, 27, 0) (175, 57, 0) (333, 2, 0) 
(113, 30, 0) (149, 10, 9, 7, 0) (177, 8, 0) (350, 53, 0) 
(114, 11, 2, 1, 0) (150, 53, 0) (177, 22, 0) (366, 29, 0) 
(115, 8, 7, 5, 0) (151, 3, 0) (177, 88, 0) (378, 43, 0) 
(116, 6, 5, 2, 0) (151, 9, 0) (178, 87, 0) (378, 107, 0) 
(117, 5, 2, 1, 0) (151, 15, 0) (183, 56, 0) (390, 89, 0) 
(118, 33, 0) (151, 31, 0) (194, 87, 0) (462, 73, 0) 
(119, 8, 0) (151, 39, 0) (198, 65, 0) (521, 32, 0) 
(119, 45, 0) (151, 43, 0) (201, 14, 0) (521, 48, 0) 
(120, 9, 6, 2, 0) (151, 46, 0) (201, 17, 0) (521, 158, 0) 
(121, 18, 0) (151, 51, 0) (201, 59, 0) (521, 168, 0) 
(122, 6, 2, 1, 0) (151, 63, 0) (201, 79, 0) (607, 105, 0) 
(123, 2, 0) (151, 66, 0) (202, 55, 0) (607, 147, 0) 
(124, 37, 0) (151, 67, 0) (207, 43, 0) (607, 273, 0) 
(125, 7, 6, 5, 0) (151, 70, 0) (212, 105, 0) (1279, 216, 0) 
(126, 7, 4, 2, 0) (152, 6, 3, 2, 0) (218, 11, 0) (1279, 418, 0) 
(127, 1, 0) (153, 1, 0) (218, 15, 0) (2281, 715, 0) 
(127, 7, 0) (153, 8, 0) (218, 71, 0) (2281, 915, 0) 
(127, 63, 0) (154, 9, 5, 1, 0) (218, 83, 0) (2281, 1029, 0) 
(128, 7, 2, 1, 0) (155, 7, 5, 4, 0) (225, 32, 0) (3217, 67, 0) 
(129, 5, 0) (156, 9, 5, 3, 0) (225, 74, 0) (3217, 576, 0) 
(130, 3, 0) (157, 6, 5, 2, 0) (225, 88, 0) (4423, 271, 0) 
(131, 8, 3, 2, 0) (158, 8, 6, 5, 0) (225, 97, 0) (9689, 84, 0) 
(132, 29, 0) (159, 31, 0) (225, 109, 0) 
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继续 这 个 例子 ， 列 出 的 (32, 7, 5, 3, 2, 1, 0) 意味 着 如 果 使 用 了 32 位 移 位 寄存 器 ， 
且 通 过 对 第 32、7、5、3、2 和 1 位 进行 异 或 产生 一 个 新 位 〈 见 图 16-4) ， 则 得 到 的 LFSR 将 
是 最 大 长 度 LFSR。 在 重复 之 前 ， 它 将 循环 地 通过 2 一 1 个 值 。 














图 16-4 32 位 最 大 长 度 LFSR 


这 个 LFSR 的 C 语言 代码 为 : 


int LFSR () { 
static unsigned long ShiftRegister = 1; 
/* Anything but 0. */ 
ShiftRegister = ((((ShiftRegister >> 31) 
^ (ShiftRegister >> 6) 
^ (ShiftRegister >> 4) 
^ (ShiftRegister >> 2) 
^ (ShiftRegister >> 1) 
^ ShiftRegister) ) 
& 0x00000001) 
<< 31) 
| (ShiftRegister >> 1) ; 
return ShiftRegister & 0x00000001; 


当 移 位 寄存 器 比 计 算 机 的 字 长 还 要 长 时 ， 这 个 程序 稍微 复杂 一 些 ， 但 不 会 有 较 大 的 
变化 。 

注意 ， 表 中 列 出 的 所 有 项 的 系数 都 是 奇数 。 我 提供 了 这 人 么 大 的 表 是 因为 LFSR 经 常用 在 
序列 密码 中 ， 这 么 多 不 同 的 实例 可 使 得 不 同 的 人 选择 不 同 的 本 原 多 项 式 。 如 果 p(x) 是 本 原 
多 项 式 ， 那 么 x"p(1/x) 也 是 本 原 多 项 式 ， 因 此 这 张 表 中 的 每 一 项 实质 上 包括 了 两 个 本 原 多 
项 式 。 

BiG, WR Ca, b, 0) 是 本 原 多 项 式 ， 那 么 (a, a—b, 0) 也 是 本 原 多 项 式 ; MR 
(a, b, c, d, 0) 是 本 原 多 项 式 ， 那 么 la, a—d, a—c, a—b, 0) 也 是 本 原 多 项 式 。 数 学 
上 可 表示 为 : 

如 果 rtrt 是 本 原 多 项 式 ， 那 么 ctre “十 1 也 是 。 

如 果 r tao tao tr tl 是 本 原 儿 项 式 ， 那 委 act tat tta tax? H tee. 

本 原 三 项 式 软件 实现 速度 最 快 ， 因 为 每 产生 一 个 新 位 仅 需 要 移 位 寄存 器 中 的 两 位 异 或 。 
事实 上 ， 表 16-2 中 列 出 的 所 有 反馈 多 项 式 是 很 稀 朴 的 〈sparse)， 意 思 是 指 其 系数 较 少 ， 这 
常常 会 使 算法 变 弱 ， 有 时 足以 破译 算法 。 笛 密 的 〈dense) 本 原 多 项 式 是 指 系数 较 多 ， 这 对 
于 密码 学 应 用 来 说 要 好 得 多 。 如 果 用 笛 密 的 本 原 多 项 式 并 使 其 成 为 密 钥 的 一 部 分 ， 那 么 可 以 
用 许多 较 短 的 LFSR。 

产生 稠密 的 本 原 多 项 式 模 2 并 不 容易 。 通 常 ， 产 生 一 个 阶 本 原 多 项 式 需 要 进行 2 一 1 次 
因 式 分 解 。 这 里 提供 了 三 本 较 好 的 产生 本 原 多 项 式 的 参考 书 ， 见 文献 L652, 1285, 1287], 

LFSR 本 身 是 适宜 的 伪 随 机 序列 发 生 器 ， 但 它们 也 有 一 些 讨厌 的 非 随机 特性 。 时 序 位 都 
是 线性 的 ， 这 使 它们 在 加 密 时 都 没有 用 处 。 对 长 度 为 n 的 LFSR， 发 生 器 的 前 个 输出 位 就 
是 它 的 内 部 状态 ， 其 至 在 反馈 形式 未 知 的 情况 下 ， 也 仅 需 要 发 生 器 的 2n 个 输出 位 就 可 用 高 
效 的 Berlekamp-Massey 算法 来 确定 该 状态 ”3 (参见 16. 3 节 )。 
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从 这 个 序列 中 产生 的 大 的 随机 数 具 有 高 的 相关 性 ， 而 且 对 某 些 应 用 类 型 ， 它 完全 不 随 
机 。 虽 然 如 此 ，LEFSR 在 加 密 算法 中 仍 经 常 被 用 于 构造 分 组 。 


LFSR 的 软件 实现 


LFSR 用 软件 实现 起 来 比较 慢 ， 但 是 用 汇编 语言 实现 比 C 语言 快 。 一 种 解决 办 法 是 并 
列 运行 16 个 LFSR (或 32 个， 视 计算 机 字 长 而 定 ) 。 这 种 方法 采用 字 的 数组 ， 其 长 度 是 
LFSR 的 长 度 ， 字 中 每 一 位 表示 不 同 LFSR 中 的 相应 位 。 假 定 所 有 的 反馈 多 项 式 相 同 ， 则 
运行 速度 非常 快 。 通 常 ， 更 新 线性 寄存 器 最 好 的 方法 是 通过 适当 的 二 进 制 结构 产生 当前 
HRE, 

也 可 以 改变 LFSR 的 反馈 形式 ， 得 到 的 生成 器 从 密码 学 意义 上 来 说 不 会 更 好 ， 但 是 它 仍 
然 具 有 最 大 周期 并 且 容 易 用 软件 实现 5 。 不 使 用 抽 头 序列 中 的 位 来 产生 新 的 最 左 位 ， 而 是 
采用 抽 头 序列 中 的 每 一 位 与 发 生 器 的 输出 相 异 或 ， 并 用 异 或 结果 取代 抽 头 序列 的 那 一 位 ， 同 
时 发 生 器 的 输出 作为 新 的 最 左 位 〈 见 图 16-5) 。 这 有 时 叫做 Galois 配置 (Galois configura- 


tion) 。 











图 16-5 Galois LFSR 


C 语言 描述 如 下 : 
#define mask 0x80000057 


static unsigned long ShiftRegister=1; 
void seed_LFSR (unsigned long seed) 


if (seed == 0) /* avoid calamity */ 
seed = 1; 
ShiftRegister = seed; 


} 
int modified_LFSR (void) 


if (ShiftRegister & 0x00000001) { 
ShiftRegister = ((ShiftRegister ^ mask >> 1) | 
0x8000000; 
return 1; 
} else { 
ShiftRegister >>= 1; 
return 0; 
} 
} 


这 里 解决 的 是 把 所 有 蜡 或 作为 单个 运算 来 进行 。 它 也 可 以 并 行 处 理 ， 并 且 不 同 的 反馈 多 
项 式 也 是 不 同 的 。Galois 配置 用 硬件 实现 更 快 ， 尤 其 是 用 自制 的 VLSI 实现。 一般 而 言 ， 如 
果 你 使 用 有 利于 移 位 的 硬件 ， 那 么 就 用 Fibonacci 配置 ; 如果 使 用 并 行 运算 ， 那么 就 用 
Galois 配置 。 


16.3 序列 密码 的 设计 与 分 析 


大 多 数 实际 的 序列 密码 都 围绕 LFSR 进行 设计 。 在 电子 时 代 的 早期 ， 它 们 非常 容易 构 
造 。 一 个 移 位 寄存 器 除了 一 个 存储 位 的 数组 外 就 没有 其 他 什么 东西 了 ， 并 且 反 馈 序 列 是 一 串 
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异 或 门 。 倘 车 用 VLSI 电路 ， 一 个 基于 LFSR 的 序列 密码 仅 用 一 些 逻 辑 门 就 能 给 你 较 高 的 安 
全 性 。 

LFSR 的 问题 是 ， 用 软件 实现 其 效率 非常 低 。 想 要 避免 稀 朴 的 反馈 多 项 式 〈 它 们 很 容易 
遭 到 相关 攻击 52” 3 ) ， 但 是 稠密 的 反馈 多 项 式 效率 也 很 低 。 序 列 密码 一 次 只 输出 1 位 。 
为 了 加 密 DES 执行 一 次 迭代 就 能 加 密 的 数据 ， 用 LFSR 不 得 不 重复 迭代 64 次 。 事 实 上 ， 一 
个 类 似 后 面 所 描述 的 收缩 式 发 生 器 的 LFSR 算法 用 软件 实现 并 不 比 DES 快 。 

密码 学 的 这 一 个 分 支 发 展 很 快 ， 并 受 政治 的 影响 很 大 。 大 多 数 设计 都 是 保密 的 ， 现 在 所 
用 的 大 量 军事 密码 系统 都 基于 LFSR。 事 实 上 ， 大 多 数 的 Cray 计算 机 (Cray 1, Cray X-MP 
和 Cray Y-MP) 都 有 一 个 相当 古怪 的 通常 叫做 “人 口 计算 ”的 结构 。 它 在 寄存 器 中 计算 一 
个 位 组 ， 并 能 用 于 有 效 地 计算 两 个 二 进 制 字 之 间 的 Hamming 距离 ， 还 能 执行 LFSR 的 向 量 
码 。 我 听 说 这 叫做 规范 的 NSA 指示 ， 要 求 所 有 的 计算 机 都 得 如 此 。 

另 一 方面 ， 令 人 吃惊 的 是 大 量 看 上 去 很 复杂 的 基于 移 位 寄存 器 的 发 生 器 均 被 破译 了 。 许 
多 类 似 于 NSA 的 军事 密码 分 析 机 构 破 译 了 许多 发 生 器 。 有 时 ， 一 次 又 一 次 地 提出 简单 问题 
让 人 很 惊讶 。 


16. 3.1 线性 复杂 性 


分 析 序 列 密码 常常 比分 析 分 组 密码 容易 。 例 如 ， 用 于 分 析 基 于 LFSR 的 一 个 重要 的 公认 
准则 是 线性 复杂 性 (linear complexity)。 它 定义 了 一 个 最 短 长 度 为 n 的 LFSR， 它 能 模拟 发 
生 器 的 输出 。 有 限 状 态 机 产生 的 任何 序列 都 覆盖 整个 具有 有 限 线性 复杂 性 的 有 限 域 0"%9 。 线 
性 复杂 性 很 重要 ， 因 为 一 个 称 为 Berlekamp-Massey 的 简单 算法 ， 在 仅 检 测 密 钥 序列 的 2n 个 
位 后 就 能 够 产生 LFSR°%  。 一 旦 产生 了 这 个 LFSR， 你 就 破译 了 这 个 序列 密码 。 

当 输出 序列 被 看 做 覆盖 整个 具有 奇数 特性 的 域 的 序号 时 "2 ， 这 种 方法 从 域 扩展 到 
BRS) 。 进 一 步 的 提高 是 提出 了 线性 复杂 性 曲线 (linear complexity profile) 概念 。 当 序列 
越 来 越 长 时 ， 线 性 复杂 性 曲线 用 于 评估 其 线性 复杂 性 05 8) 。 计 算 线 性 复杂 性 的 另 一 
个 算法 仅仅 用 于 非常 特殊 的 环境 中 5 999-998-8959 。 在 文献 [776] 中 对 线性 复杂 性 有 一 个 概 
括 。 此 外 ， 还 提出 了 二 维 复杂 性 5 和 三 维 复杂 性 5 的 概念 。 

在 任何 情况 下 ， 都 必须 记 住 : 高 的 线性 复杂 性 并 不 代表 一 个 安全 的 发 生 器 ， 而 一 个 低 的 
线性 复杂 性 则 表明 它 肯定 不 安全 [5 249 。 


16. 3.2 相关 免疫 性 

密码 设计 者 通过 采用 非 线 性 方法 组 合 多 个 输出 序列 得 到 高 的 线性 复杂 性 。 这 里 的 危险 是 
一 个 或 者 更 多 的 内 部 输出 序列 〈 常 常 正好 是 独立 LFSR 的 输出 ) 与 组 合 密码 序列 相关 ， 并 且 
易 受 线性 代数 的 攻击 。 常 常 将 这 称 为 相关 攻击 (correlation attack) 或 分 治 攻击 (divide 
and-conquer attack), Thomas Siegenthaler 给 出 了 相关 免疫 性 (correlation immunity) 的 精 
确定 义 ， 并 且 在 相关 免疫 性 和 线性 复杂 性 之 间 给 出 了 一 个 折 中 办 法 。 

相关 攻击 的 基本 思想 是 识别 发 生 器 的 输出 和 它 内 部 块 的 某 一 块 之 间 的 相关 性 。 然 后 ， 通 
过 观察 输出 序列 ， 获 得 关于 其 内 部 输出 的 一 些 信 息 。 用 这 些 信 息 和 其 他 的 相关 性 ， 搜 集 其 他 
内 部 输出 的 相关 性 ， 直 到 整个 发 生 器 被 破译 。 

相关 攻击 和 它 的 变型 ， 如 快速 相关 攻击 (这 里 指 介 于 计算 复杂 性 和 效率 之 间 的 一 个 折 中 )， 
成 功 地 应 用 于 许多 基于 LFSR 的 密 钥 序列 发 生 器 中 ?278.1452572.1636、1051、1090、350,633,1054.1089.99] 。 沿 着 
这 种 基本 思想 的 一 些 有 趣 的 新 方法 见 文献 L46, 1641]. 
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16.3.3 其 他 攻击 

还 有 其 他 一 些 针 对 密 钥 序列 发 生 器 的 一 般 攻 击 。 线 性 一 致 性 测试 〈linear consistency 
test) 试图 利用 符 阵 确定 加 密 密 钥 的 子 集 ”” 。 还 有 中 间 相 遇 一 致 性 攻击 (meet-in-the-mid- 
dle consistency attack)", tHE BH (linear syndrome algorithm) 依靠 将 输出 序 
列 的 片段 作为 一 个 线性 等 式 " IS 。 还 有 最 佳 仿 射 逼 近 攻 击 (best affine approximation 
attack) °°?! $l Je FR FUL (derived sequence attack)!! 。 与 线性 密码 分 析 一 样 [5] ， 差 分 密 
码 分 析 技术 也 可 用 于 序列 密码 中 (en 。 


16.4 使 用 LFSR 的 序列 密码 


设计 使 用 LFSR 的 密码 序列 发 生 器 的 方法 很 简单 。 首 先 ， 用 一 个 或 两 个 LFSR， 通 常 
要 求 它们 有 具有 不 同 长 度 和 不 同 反馈 多 项 式 (如 果 其 长 度 互 素 ， 并 且 反 馈 多 项 式 是 本 原 的 ， 
那么 整个 发 生 需 具有 最 大 的 长 度 ) 。 密 钥 是 LFSR 的 初始 状态 ,每 次 取 1 位， 然后 将 LFSR 
移 位 一 次 (有 时 叫做 一 个 时 钟 (clock))。 输 出 位 是 LFSR 中 某 些 位 的 函数 ， 最 好 是 非 线 性 
图 数 ， 这 个 函数 叫做 组 合 函 数 (combining function)， 并 且 整 个 发 生 器 叫做 组 合 发 生 器 
(combination generator) 〈 如 果 输 出 位 是 单个 LFSR 函数 ,那么 这 个 发 生 器 叫做 过 滤 发 生 器 
(filter generator) ) 。 有 关 这 类 问题 更 多 的 理论 ，Selmer 和 Neal Zierler 在 文献 [1647] 中 有 
所 记载 。 

复杂 程度 渐渐 增加 。 有 些 发 生 器 用 不 同 频 率 的 时 钟 驱动 ， 有 时 一 个 发 生 器 的 时 钟 依赖 于 
另 一 个 发 生 器 的 输出 。 第 二 次 世界 大 战 之 前 ， 所 有 密码 机 方案 的 电子 版 本 称 为 钟 控 发 生 器 
(clock-controlled generators)! 。 时 钟 控 制 能 够 向 前 反馈 ， 使 得 一 个 LFSR 的 输出 控制 另 
一 个 LFSR 的 时 钟 ; 或 者 向 后 反馈 ， 使 得 一 个 LFSR 的 输出 控制 它 自己 的 时 钟 。 

尽管 这 些 发 生 器 至 少 在 理论 上 易 受 敌人 和 概率 相关 攻击 "2 ， 但 是 大 多 数目 前 还 是 很 
安全 的 。 关 于 钟 控 移 位 寄存 器 的 更 多 理论 见 [89]. 

作为 剑桥 大 学 纯 数 学 的 前 领导 者 和 Bletchly Park 前 密码 学 家 ，Ian Cassells 说 :“ 密 码 学 
是 数学 和 混乱 的 一 个 混合 体 ， 如 果 没 有 混乱 ， 数 学 将 会 背叛 你 .” 他 的 意思 是 指 在 序列 密码 
中 ， 你 需要 一 些 密码 结构 〈 比 如 LFSR) 以 保证 具有 最 大 长 度 和 其 他 特性 ， 然 后 复杂 的 非 线 
性 混乱 将 阻止 别人 得 到 寄存 器 并 解密 它 。 这 个 建议 对 分 组 算法 也 很 有 效 。 

下 面 是 文献 中 基于 LFSR 密 钥 序 列 发 生 器 的 一 些 简单 的 描述 。 我 并 不 知道 它们 是 否 真 的 
用 于 密码 产品 中 。 它 们 中 的 大 多 数 仅 在 理论 上 较 好 。 有 些 已 经 被 破译 ， 有 些 可 能 还 是 安 
全 的 。 

因为 基于 LFSR 的 密码 通常 用 硬件 产生 ， 所 以 在 图 中 使 用 了 电子 逻辑 标识 符 。 在 文本 
H, ORKER, ARRI, VÉR., TÆR. 


16.4.1 Geffe 发 生 器 


这 个 密 钥 序列 发 生 器 使 用 了 3 个 LFSR， 它 们 以 非 线 性 方式 组 合 而 成 ( 见 图 16-6), 
两 个 LFSR 作为 复合 器 的 输入 ， 第 三 个 LFSR 控制 复合 器 的 输出 ， 如 果 ai, a: 和 as 是 3 个 
LFSR 的 输出 ， 则 Geffe 发 生 器 的 输出 表示 为 : 

b= (a, A az) Ba) A az) 
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如 果 3 个 LFSR 的 长 度 分 别 为 n,、n: 和 ns， 那么 这 个 发 生 器 的 线性 复杂 性 为 : 
(m +1)m, + nn; 
这 个 发 生 器 的 周期 是 3 个 LFSR 周期 的 最 小 公 倍数 。 假 设 3 个 本 原 反 馈 多 项 式 的 阶 数 互 
素 ， 那 么 这 个 发 生 器 的 周期 是 3 个 LFSR 周期 的 积 。 


2-1 
复合 器 


b(D) 





Kl 16-6 Geffe 发 生 器 


虽然 这 个 发 生 器 从 理论 上 看 起 来 很 好 ， 但 实质 上 很 弱 ， 并 不 能 抵抗 相关 攻击 屏 ?" "6 。 发 
生 器 的 输出 与 LFSR-2 的 输出 有 75% 的 时 间 是 相同 的 。 因 此 ， 如 果 已 知 反馈 抽 头 ， 便 能 猜 出 
LFSR-2 的 初 值 和 寄存 器 所 产生 的 输出 序列 。 然 后 就 能 计算 出 LFSR-2 的 输出 与 这 个 发 生 器 
的 输出 相同 的 次 数 。 如 果 猜 错 了 ， 两 个 序列 相同 的 概率 为 50%; 如 果 猜 对 了 ， 两 个 序列 相 
同 的 概率 为 75%。 

类 似 地 ， 发 生 器 的 输出 与 LFSR-3 的 输出 相等 的 概率 为 75%。 有 了 这 种 相关 性 ， 密 钥 序 
列 发 生 器 很 容易 被 破译 。 例 如 ， 如 果 3 个 本 原 多 项 式 都 是 三 项 式 ， 其 中 最 大 长 度 为 nx， 那么 
仅 需 要 37n 位 的 一 段 输出 序列 就 可 重 构 这 3 个 LFSR 的 内 部 状态 0 。 


16. 4.2 推广 的 Geffe 发 生 器 


这 种 方法 不 在 两 个 而 在 & 个 LFSR 中 进行 选择 , k 是 2 BR., aA ktl 个 LFSR Ci 
图 16-7)。LFSR-1 必须 比 其 他 上 个 LFSR 运行 快 log:& 倍 。 
这 种 方法 比 Geffe 发 生 器 复杂 ， 而 且 同 样 可 能 受到 相关 攻击 。 我 不 推荐 这 种 发 生 器 。 


LFSR-n+1 






b(t) 


图 16-7 推广 的 Geffe RAB 


16. 4.3 Jennings 发 生 器 


这 个 发 生 器 用 了 一 个 复合 器 来 组 合 两 个 LFSRL5787? 7 H LFSR-1 控制 的 复合 器 为 每 一 个 输 
出 位 选择 LFSR-2 的 一 位 。 用 一 个 函数 将 LFSR-2 的 输出 映射 到 复合 器 的 输入 〈 见 图 16-8) 。 
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b(t) 





图 16-8 Jennings 发 生 器 


密 钥 是 两 个 LFSR 和 映射 函数 的 初始 状态 。 虽 然 这 个 发 生 器 有 好 的 统计 特性 ， 但 它 不 能 
抗 Ross Anderson 的 中 间 相 遇 一 致 性 攻击 5 和 线性 一 致 性 攻击 50588423 。 不 要 使 用 这 个 发 
HE BE 


16.4.4 Beth-Piper 停 走 式 发 生 器 


这 个 发 生 器 用 一 个 LFSR 的 输出 来 控制 另 一 个 LFSR Wy it POS) (E 16-9) 。LFSR-1 
的 输出 控制 LFSR-2 的 时 钟 输入 ， 使 得 LFSR-2 仅 当 LFSR-1 在 时 间 :一 1 的 输出 是 1 时 ， 能 
在 时 间 i 改变 它 的 状态 。 





图 16-9 ”Beth-Piper 停 走 式 发 生 器 
没 人 能 够 证 明 这 种 发 生 器 在 通常 情况 下 的 线性 复杂 性 。 然 而 ， 它 不 能 抗 相关 攻击 m1。 


16.4.5 交错 停 走 式 发 生 器 


这 个 发 生 器 用 了 3 个 不 同 长 度 的 LFSR。 当 LFSR-1 的 输出 是 1 时 ，LFSR-2 被 时 钟 驱 
动 ; 当 LFSR-1 的 输出 是 0 时 ，LFSR-3 被 时 钟 驱动 。 这 个 发 生 器 的 输出 是 LFSR-2 和 LF- 
SR-3 输出 的 异 或 ( 见 图 16-10)[6731 。 





图 16-10 ”交错 停 走 式 发 生 器 
这 个 发 生 器 具有 长 的 周期 和 大 的 线性 复杂 性 ， 设计 者 找到 了 针对 LFSR-1 的 相关 攻击 ， 
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但 本 质 上 它 并 没有 削弱 这 个 发 生 器 。 沿 着 这 种 基本 思想 ， 还 有 其 他 一 些 密 钥 序列 发 
生 器 01534.1574.1477] 


16.4.6 双 侧 停 走 式 发 生 器 

这 个 发 生 器 使 用 了 两 个 长 度 为 n 的 LFSR ( 见 图 16-11)0535 。 这 个 发 生 器 的 输出 是 两 个 
LFSR 输出 的 异 或 。 如 果 LFSR-2 在 时 间 t 一 1 时， 输出 是 0; 在 时 间 :一 2 时 ,输出 是 1, MA 
在 时 间 上 时，LFSR-2 将 不 会 步 进 。 相 反 ， 如 果 LFSR-1 在 时 间 :一 1 时 ， 输 出 为 0; 在 时 间 :一 2 
时 ， 输 出 为 1， 同 时 LFSR-1 在 时 间 上 时 已 经 步 进 ， 那 么 LFSR-2 在 时 间 t 时 不 能 步 进 。 


DD 









n 级 LFSR-2 


) > 一 ~- (1) 







-1 n 级 LFSR-1 
(t+n-1) | b (t+n-2 


[blend [bemad] | oW | 
E A 


A 





DW BD) 
图 16-11 双 侧 停 走 式 发 生 器 


这 个 发 生 器 的 线性 复杂 性 大 约 等 于 它 的 周期 ， 根 据 文 献 [1638],“ 在 这 个 系统 中 没有 发 
现 明显 的 密 钥 匈 余 度 。” 


16.4.7 门限 发 生 器 


这 个 发 生 器 试图 通过 使 用 可 变数 量 的 LFSR 来 避免 前 面 发 生 器 的 安全 性 问题 ?7 。 理 论 
根据 是 ， 如 果 使 用 了 很 多 LFSR， 将 更 难 破 

这 个 发 生 器 如 图 16-12 所 示 ， 考 虑 一 个 
大 数 的 LFSR 的 输出 (使 LFSR 的 数目 是 
奇数 ) ， 确 信 所 有 LFSR 的 长 度 互 素 ， 且 所 
有 的 反馈 多 项 式 都 是 本 原 的 ， 这 样 可 以 达 
到 最 大 周期 。 如 果 超 过 一 半 的 LFSR 的 输 
出 是 1， 那么 发 生 器 输出 是 1; 如 果 超 过 一 
半 的 LFSR 的 输出 是 0， 那么 发 生 器 的 输出 Hinia Ree 
是 0。 

3 个 LFSR 发 生 器 的 输出 可 表示 为 : 

b= (a, A az) Ola, A a3) & (az A az) 
这 个 发 生 器 与 Geffe 发 生 器 非常 类 似 ， 除 了 它 具 有 大 的 线性 复杂 性 外 : 
ni Ny + nini Hañ 

这 里 Nis N2 和 n3 分 别 表示 第 一 、 第 二 和 第 三 个 LFSR 的 长 度 。 

这 个 发 生 器 并 不 好 ， 发 生 器 的 每 个 输出 位 产生 LFSR 状态 的 一 些 信 息 〈 刚 好 是 0. 189 
位 )， 并 且 它 不 能 抗 相关 攻击 。 我 建议 不 要 使 用 这 种 发 生 器 。 
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16.4.8 自 采 样 发 生 器 


自 采样 发 生 器 是 控制 自己 时 钟 的 发 生 器 。 已 提出 了 两 种 类 型 的 自 采样 发 生 器 ， 一 种 是 
‘Rainer Rueppel 提出 的 〈 见 图 16-13)0359 ， 另 一 个 是 Bill Chambers 和 Dieter Gollmann 提出 
的 〈 见 图 16-14)5°! 。 


0: 被 时 钟 驱动 4 次 


16-13 Rueppel 自 采 样 发 生 器 


在 Rueppel 发 生 器 中 ， 当 LFSR 的 输出 是 0 时 ，LFSR 被 时 钟 驱动 4 次 ; 当 LFSR 的 输 
出 是 1 时 ， 它 被 时 钟 驱 动 上 次 。Chamber 和 Gollmann 发 生 器 更 复杂 ， 但 思想 是 相同 的 。 不 
幸 的 是 ， 这 两 个 发 生 器 都 不 安全 "“ ， 尽 管 提出 了 一 些 更 改 意见 来 更 正 那些 缺点 0。 。 











图 16-14 Chambers 和 Gollmann 自 采 样 发 生 器 


16. 4.9 多 倍速 率 内 积 式 发 生 器 


Massey 和 Rueppd 提出 的 这 个 发 生 器 ." 电 使 用 两 个 利用 不 同 速 率 时 钟 驱 动 的 LFSR ( 见 
图 16-15), LFSR-2 的 时 钟 是 LFSR-1 时 钟 的 d 倍 ， 将 两 个 LFSR 的 独立 位 相 与 ， 然 后 异 或 
以 产生 这 个 发 生 器 的 最 终 输 出 位 。 





图 16-15 多 倍速 率 内 积 式 发 生 器 


虽然 这 个 发 生 器 有 很 高 的 线性 复杂 性 ， 也 有 极 好 的 统计 特性 ， 但 它 仍 不 能 抗 线性 相关 攻 
BO, WR n 是 LFSR-1 WKE, m 是 LFSR-2 WKE, d 是 它们 之 间 的 速率 因子 ， 那 么 
这 个 发 生 器 能 从 长 度 为 ni 十 nz 十 logzd 的 一 段 输出 序列 中 恢复 发 生 器 的 内 部 状态 。 


16.4.10 求 和 式 发 生 器 


Rainer Rueppel 设计 了 这 个 发 生 器 。 这 个 发 生 器 把 两 个 带 进位 的 LFSR 的 输出 相 
加 .35 。 这 种 运算 是 高 度 非 线性 的 。 直 到 20 世纪 80 年 代 末 这 个 发 生 器 还 是 安全 的 。 但 
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近来 它 被 相关 攻击 破译 ”1 。 在 17.4 节 中 给 出 了 一 个 带 进位 移 位 寄存 器 的 反馈 例子 ， 
它 也 能 被 破译 。 


16. 4. 11 DNRSG 


它 代表 “动态 随机 数 发 生 器 ”""]， 其 基本 思路 是 用 两 个 不 同 的 过 滤 发 生 器 (门限 、 求 
和 或 其 他 )， 它 由 一 个 LFSR 设置 ， 并 由 男 一 个 LFSR 控制 。 

首先 驱动 所 有 的 LFSR， 如 果 LFSR-0 的 输出 是 1， 那 么 计算 第 一 个 过 滤 发 生 器 的 输出 ; 
如 果 LFSR-0 的 输出 是 0， 那么 计算 第 二 个 过 滤 发 生 器 的 输出 。 最 后 将 这 两 个 输出 异 或 得 到 
最 后 的 输出 。 


16. 4. 12 Gollmann 级 联 


在 文献 [636，309] 中 描述 的 Gollmann 级 联 是 停 走 式 发 生 器 的 加 强 形 式 LE 16-16). 
它 由 一 串 LFSR 组 成 ， 其 中 每 一 个 LFSR 的 时 钟 都 受 前 一 个 LFSR 的 控制 。 如 果 在 时 间 :一 1 
时 ，LFSR-1 的 输出 是 1， 那 么 将 步 进 到 LFSR-2; 如 果 在 时 间 :一 1 时 ，LFSR-2 的 输出 是 1， 那 
么 将 步 进 到 LFSR-3; 以 此 类 推 。 最 后 一 个 LFSR 的 输出 就 是 这 个 发 生 器 的 输出 。 如 果 所 有 的 
LFSR 有 相同 的 长 度 n， 那 么 由 个 LFSR 组 成 的 这 个 发 生 器 的 线性 复杂 性 为 2%2" 一 1) 生 :。 





图 16-16 Gollmann 级 联 


级 联 是 一 个 很 好 的 办 法 : 它 在 概念 上 非常 简单 ， 并 且 可 以 用 来 产生 长 周期 、 高 线性 复杂 
性 和 好 的 统计 特性 的 序列 。 它 易 受 锁定 Clock-in) 攻击 cs 。 锁 定 是 一 种 密码 分 析 者 重 构 级 
联 中 最 后 一 个 移 位 寄存 器 的 输入 ， 然 后 逐 级 攻击 的 技术 。 在 某 些 情况 下 ， 这 是 一 个 很 严重 的 
问题 ， 并 且 它 减弱 了 算法 的 有 效 密 钥 长 度 。 采 取 一 些 预防 措施 能 减轻 这 种 攻击 。 

进一步 的 分 析 表 明 当 & 增 大 时 ,序列 更 接近 随机 ”3 。 基 于 最 近 对 较 小 的 Goll- 
mann 级 联 的 攻击 ， 我 建议 值 至 少 为 1 5。 用 大 量 的 短 LFSR 比 用 少量 的 长 LFSR 好 。 


16.4.13 收缩 式 发 生 器 


与 前 面 的 发 生 器 相 比较 ， 收 缩 式 发 生 器 !*% 采用 不 同类 型 的 时 钟 控 制 。 发 生 器 使 用 两 个 
LFSR: LFSR-1 和 LFSR-2。 它 们 都 受 时 钟 控 制 。 如 果 LFSR-1 的 输出 是 1， 那 么 发 生 器 输 
出 LFSR-2; 如 果 LFSR-1 的 输出 是 0， 则 丢掉 两 位 ， 两 个 LFSR 在 时 钟 控制 下 重复 操作 。 

这 个 方法 很 简单 ， 效 率 很 高 ， 并 且 看 上 去 也 安全 。 如 果 反 馈 多 项 式 稀 疏 ， 那 么 发 生 器 易 
受 攻 击 ， 但 是 还 没有 发 现 其 他 问题 。 尽 管 如 此 ， 它 还 是 一 个 新 的 方法 。 其 实现 上 的 问题 是 速 
度 不 国定 ， 如 果 LFSR-1 有 很 长 一 段 连续 的 0， 那 么 发 生 器 就 不 会 输出 。 设 计 者 建议 用 缓冲 
器 来 解决 这 个 问题 5 。 文 献 [90] 中 也 讨论 了 收缩 式 发 生 器 的 实现 问题 。 


16.4.14 自 收缩 式 发 生 器 


自 收 缩 式 发 生 器 "是 收缩 式 发 生 器 的 一 个 变型 。 它 没有 使 用 两 个 LFSR， 而 是 使 用 
从 一 个 LFSR 中 产生 出 的 一 对 位 。 时 钟 驱动 一 个 LFSR 两 次 。 如 果 第 一 位 是 1， 那么 发 生 咒 
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的 输出 就 是 第 二 位 :如果 第 一 位 是 0， 丢 掉 这 两 位 并 且 重 试 。 与 收缩 式 发 生 器 比较 ， 自 收缩 
式 发 生 器 只 需要 前 者 一 半 的 存储 空间 ， 同 时 其 速度 也 只 有 前 者 的 一 半 。 

虽然 自 收 缩 式 发 生 器 看 上 去 也 是 安全 的 ， 但 它 具 有 一 些 无 法 解释 的 行为 和 未 知 的 特性 。 
这 是 一 个 非常 新 的 发 生 器 ， 还 需要 经 受 时 间 的 考验 。 


16.5 A5 算法 


AS 是 用 于 GSM 加 密 的 序列 密码 。 那 是 一 个 数字 蜂窝 移动 电话 的 非 美 国标 准 。 它 用 于 
加 密 从 电话 到 基站 的 连接 。 连 接 的 其 他 部 分 是 不 加 密 的 ， 电 话 公司 很 容易 偷 听 你 的 电话 。 

大 量 的 政治 争议 一 直 围绕 着 A5。 起 初 ， 认 为 GSM 加 密 将 阻碍 对 某 些 国家 的 电话 出 口 。 
现在 一 些 官员 正在 讨论 AS 是 否 会 伤害 出 口 贸 易 ， 其 意思 是 它 是 如 此 的 弱 ， 以 至 于 会 带 来 困 
A HAVE 20 世纪 80 年 代 中 期 关于 GSM 加 密 应 该 强 还 是 弱 ， 在 NATO 情报 机 构 内 部 有 过 
激烈 的 争论 。 德 国 希望 强 一 些 ， 因 为 他 们 离 苏 联 较 近 ， 而 其 他 国家 不 赞成 这 样 ， 并 且 A5 是 
由 法 国人 设计 的 。 

我 们 知道 许多 详细 资料 。 一 家 英国 电话 公司 没有 签署 保密 协议 便 将 他 们 所 有 的 文件 给 了 
Bradford 大 学 。 文 件 被 四 处 传播 ， 并 且 终于 传 到 了 因特网 上 。 描 述 AS 的 资料 见 [1622], 
本 书 的 后 面 也 有 它 的 程序 代码 。 

A5 由 3 个 LFSR 组 成 ,寄存 器 的 长 度 分 别 是 19、22 和 23。 所 有 的 反馈 多 项 式 系 数 都 
较 少 。3 个 LFSR 的 异 或 值 作为 输出 。A5 用 不 同 的 时 钟 控制 。 每 一 个 寄存 器 由 基于 它 自 己 
中 间 位 的 时 钟 控制 ， 并 且 3 个 寄存 器 中 间 位 的 反 向 门限 函数 相 异 或 。 通 常 ， 在 每 一 轮 中 时 钟 
驱动 两 个 LFSR。 

有 一 种 直接 攻击 需要 2 次 加 密 : 先 猜测 前 两 个 LFSR 的 内 容 ， 然 后 试 着 通过 密 钥 序列 
决定 第 三 个 LFSR 〈 这 种 攻击 实际 上 是 否 可 行 尚 待 讨 论 ， 但 是 目前 一 个 硬件 密 钥 搜索 机 正在 
设计 中 ， 并 且 将 解决 这 个 问题 ) 。 

总 之 ， 有 一 点 可 以 明确 ， 那 就 是 A5 的 基本 思路 是 好 的 ， 它 的 效率 非常 高 。 它 能 通过 所 
有 已 知 的 统计 测试 ， 它 已 知 的 仅 有 弱点 是 寄存 器 太 短 而 不 能 抗 穷 举 攻击 。 带 较 长 寄存 器 和 笛 
密 反 馈 多 项 式 的 A5 的 变型 是 安全 的 。 


16.6 Hughes XPD/KPD 算法 


这 种 算法 是 休 斯 飞 机 公司 设计 的 ， 它 用 于 战术 电台 和 卖 给 国外 军队 的 导航 设备 中 。 它 于 
1986 年 为 可 出 口 的 保密 设备 设计 ， 被 称 为 XPD。 后 来 它 更 名 为 运动 保护 设备 (Kinetic Pro- 
tection Device, KPD), 3 H E fg 23020971991 。 

算法 采用 61 位 LFSR。 共 有 22 个 不 同 的 本 原 反 馈 多 项 式 ， 这 一 点 已 经 被 NSA 认可 。 
与 LFSR 的 初始 状态 一 样 ， 密 钥 选 择 这 些 多 项 式 中 的 一 个 〈 它 们 存储 在 ROM 中 ) 。 

ECA 8 个 不 同 的 非 线性 过 滤器 ， 每 一 个 都 有 来 自 LFSR 的 6 个 抽 头 ， 并 且 每 一 个 都 产生 
1 位 。 这 些 位 组 成 1 字 节 ， 用 于 对 数据 序列 加 密 或 解密 。 

这 个 算法 看 上 去 非常 好 ， 但 是 我 还 是 怀疑 它 。NSA 允许 它 出 口 ， 那 么 在 规定 的 2” 或 更 
短 的 密 钥 范围 内 ， 一 定 存 在 某 些 攻击 。 


16.7 Nanoteq 算法 
Nanoteq 是 南非 的 一 家 电子 公司 ， 这 个 算法 为 南非 警察 局 设计 ， 用 于 他 们 的 传真 传输 
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中 ， 并 且 还 有 其 他 的 一 些 用 户 。 

这 个 算法 在 文献 [902、903] 中 或 多 或 少 地 有 所 描述 。 它 使 用 了 一 个 具有 固定 组 合 反 馈 
多 项 式 的 127 位 LFSR， 密 钥 是 反馈 寄存 器 的 初始 状态 。 寄 存 器 的 127 位 缩短 成 一 个 使 用 25 
个 本 原 元 的 密 钥 序 列 位 ， 每 一 个 本 原 元 有 5 个 输入 和 1 个 输出 : 

FE 5 Vp 5 Xe iB) = B boy +4 Haa t ta F a) +, H a aH a N H 

函数 的 每 一 个 输入 与 密 钥 的 一 些 位 异 或 。 在 算法 中 还 有 一 个 依赖 于 特殊 实现 的 秘密 置 
换 ， 在 资料 中 没有 描述 。 这 个 算法 仅 对 硬件 实现 可 行 。 

这 个 算法 安全 吗 ? 我 持 怀 疑 态度 。 按 照常 理 ， 从 一 个 警察 局 到 另 一 个 警察 局 的 传真 时 常 
会 出 现在 报纸 上 ， 这 是 美国 、 英 国 或 苏联 努力 的 结果 。Ross Anderson 在 文献 [46] 中 用 了 
一 些 原始 的 步骤 分 析 这 个 算法 。 我 期 待 着 将 来 有 更 多 的 结果 。 


16.8 Rambutan 算法 


Rambutan 是 一 个 英国 的 算法 ， 由 通信 和 电子 安全 组 织 (GCHQ 所 用 别名 中 的 一 个 ) 设 
计 。 它 仅 作 为 一 个 硬件 模块 出 售 ， 用 于 保护 “机 密 ” 的 资料 。 算 法 本 身 是 安全 的 ， 但 芯片 通 
常 在 商业 上 是 无 效 的 。 

Rambutan 有 一 个 112 位 密 钥 (加 上 校 验 位 ) 并 且 能 够 用 于 3 种 工作 方式 : ECB. CBC 
和 8 位 CFB。 这 充分 说 明 它 是 一 个 分 组 密码 算法 ,但 是 据说 不 全 是 这 样 。 根 据 推 测 ， 它 是 一 
个 LFSR 序列 密码 。 它 有 5 个 移 位 寄存 器 ， 每 一 个 的 长 度 都 在 80 位 左右 。 反 馈 多 项 式 非常 
稀 朴 ， 每 一 个 大 概 只 有 10 个 抽 头 。 每 一 个 移 位 寄存 器 给 一 个 非常 大 的 复杂 的 非 线性 函数 提 
供 4 个 输入 ， 经 非 线性 函数 运算 后 产生 1 个 输出 位 。 

为 什么 叫 它 为 Rarnbutan 呢 ? 也 许 ， 它 就 像 那 种 叫 Rambutan 的 水 果 一 样 ， 外 面 多 刺 且 
不 易 接近 ， 而 内 部 松软 且 容 易 变形 。 当 然 ， 也 许 根 本 不 是 这 样 。 


16.9 附加 式 发 生 器 


附加 式 发 生 器 (additive generator) (有 时 叫做 延迟 Fibonacci 发 生 器 ) 非常 高 效 ， 因 为 
它 用 随机 字 取 代 了 随机 位 5 ， 它 本 身 并 不 安全 ， 但 是 可 以 作为 安全 发 生 器 的 一 个 构造 模块 。 

发 生 器 的 初始 状态 是 一 个 n 位 字 : 8 位 、16 位 或 32 位 ， 无 论 是 哪 一 种 ， 令 其 为 Xi， 
X: ，X:，…，Xn。 初 始 状态 就 是 密 钥 。 发 生 器 的 第 i 个 字 是 : 

X: = (Xa + X +H Xie Hte + Xi-m) mod 2” 

如 果 系 数 a，65，c，*…，m 选择 正确 ， 那 么 发 生 器 的 周期 至 少 是 2" 一 1。 系 数 的 一 个 必 
要 条 件 是 用 最 少 的 位 组 成 最 大 长 度 的 LFSR。 

例如 ，(55，24，0) 在 表 16-2 中 是 一 个 本 原 多 项 式 模 2， 这 意味 着 下 面 的 附加 式 发 生 器 
有 最 大 长 度 。 

Xi = (Xss + X-a)mod 2” 

因为 这 个 本 原 多 项 式 有 3 个 系数 ， 所 以 它 能 正常 运行 。 如 果 系 数 超过 3 个 ， 则 需要 一 些 

附加 的 必要 条 件 才能 使 它 达到 最 大 长 度 。 详 细 的 描述 见 文 献 249], 


16.9.1 Fish 发 生 器 


Fish 是 一 种 基于 收缩 式 发 生 器 的 附加 式 发 生 器 "” 。 它 产生 一 个 32 位 字 的 密 钥 序列 ， 
这 个 密 钥 序列 与 明文 序列 异 或 产生 密 文 序列 ， 或 者 与 密 文 序列 异 或 产生 明文 序列 。 算 法 叫做 
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Fish， 因 为 它 是 一 个 Fibonacci 收缩 式 发 生 器 。 
首先 ， 使 用 这 两 个 附加 式 发 生 器 。 密 钥 是 这 些 发 生 器 的 初始 值 。 
A; = (Ass + Az )mod 2” 
Bi; = (As: + Aiis)mod 2” 
这 些 序 列 都 是 收缩 式 的 ， 作 为 一 个 组 合 处 理 ， 依 赖 于 B; 的 最 低 有 效 位 : 如 果 它 是 
1， 则 利用 组 合 ; 如 果 它 是 0， 则 忽略 组 合 。C; 是 从 A; 中 产生 的 序列 ， 而 D, 是 从 B; 产 
生 的 序列 。 这 些 字 用 在 组 合 中 (Cr 、Co+r、D 和 Dan P) 产生 两 个 32 位 输出 字 : 
K,; 和 K2;+1. . 
E; = Cy, 四 (Di A Dya) 
Fa = Czyn A (Œz A Czn) 
K; = E; O Fy 
Kan = cm © Fy 
这 个 算法 运行 速度 很 快 。 在 33MHz 的 486 机 器 上 ，Fish 加 密 数 据 的 C 语言 实现 速度 为 
15Mb/s。 不 幸 的 是 ， 它 仍然 是 不 可 靠 的 ， 一 次 攻击 大 概 需要 20 KAA, 


16.9.2 Pike 发 生 器 


Pike 是 Fish 的 一 个 简化 版 本 ， 是 由 Ross Anderson， 即 那个 破译 了 Fish 的 人 设计 
A, CERT 3 个 附加 式 发 生 器 。 例 如 ， 
A;= (Ass + Ai zs)mod 2” 
B,= (B-s + B;;)mod 2” 
C= (Bss + Bess) mod 2” 
为 了 产生 密 钥 序 列 字 ， 寻 找 附加 的 进位 位 。 如 果 3 个 位 相同 (全 0 或 者 全 1), 那么 钟 
控 所 有 的 发 生 器 ; 如 果 不 相 同 ， 那 么 钟 控 两 个 相同 的 发 生 器 。 同 时 为 下 一 个 时 钟 保存 进位 。 
最 后 的 输出 是 3 个 发 生 器 的 异 或 值 。 
Pike 比 Fish 快 ， 因 为 每 产生 一 个 输出 大 概 需要 2. 75 步 运算 而 不 需要 3 步 。 它 太 新 还 不 
能 让 人 相信 ， 但 到 目前 为 止 看 上 去 还 是 好 的 。 


16.9.3 Mush ÆJ 


Mush 是 一 个 相互 收缩 的 发 生 器 ， 在 文献 [1590] 中 解释 得 很 清楚 。 它 使 用 了 两 个 附加 
式 发 生 器 : A 和 B。 如 果 A 设置 了 进位 位 ， 则 钟 控 B; WR BERETA., We A., ahi 
A 时 如 果 有 进位 ， 则 设置 进位 ; 钟 控 B 时 如 果 有 进位 ， 则 设置 进位 。 最 后 的 输出 是 A 和 BB 
输出 的 异 或 值 。 

最 容易 的 发 生 器 是 来 自 Fish: 

A;= (Ass + Azo) mod 2” 
B;= (Besa + Bi) mod 2” 

产生 一 个 输出 字 平 均 需要 3 个 发 生 器 迭代 一 次 。 如 果 附 加 式 发 生 器 的 系数 选 得 合适 且 互 
素 ， 那 么 输出 序列 将 有 最 大 长 度 。 我 不 知道 有 成 功 的 攻击 ， 但 是 记 住 ， 这 个 算法 还 非常 
新 的 。 


16.10 Gifford 算法 
David Gifford 发 明了 一 种 序列 密码 ， 并 在 1984 年 到 1988 年 在 波士顿 地 区 用 来 加 密 新 闻 
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有 线 报道 。 该 算法 有 一 个 8 字 节 寄存 器 : bos bis os bre MAME AE WD A 


状态 。 该 算法 工作 在 OFB 模式 下 ， 且 明文 对 算 
法 没有 一 点 影响 〈 见 图 16-17) 。 

产生 一 个 密 钥 字 节 kio Etk b 5 b: UK b 
与 。 将 两 者 相 乘 得 到 一 个 32 位 数 。 左 起 第 三 
字 节 就 是 &;。 

更 新 寄存 器 ， 取 2 且 将 它 右 移 1 位 。 这 就 
意味 着 最 左 位 既 移 位 又 原 处 保留 了 。 取 6b; AA 
移 1 位 ， 则 最 右 位 的 位 置 应 该 为 0。 将 改变 后 的 
bi, b: 和 bo 异 或 。 将 原 寄存 器 向 右 移 1 字 节 并 将 
该 字 节 放 和 最 左 位 置 。 

该 算法 自 诞生 以 来 一 直 都 很 安全 ， 直 到 1994 
TEBE 。 这 表明 反馈 多 项 式 不 是 本 原 的 ， 
可 以 用 某 些 方法 破译 。 


16.11 M 算法 











图 16-17 Gifford 发 生 器 


这 个 名 字 来 自 Knuth*”] 。 这 是 一 个 通过 组 合 多 个 伪 随 机 序列 来 增加 安全 性 的 方法 。 


个 发 生 器 的 输出 往往 是 从 其 他 发 生 器 的 输出 中 选择 一 个 延迟 输出 ”… 中 。C 语言 描述 为 : 


#define ARR SIZE (8192) /* for example 一 the larger the better 
a! 


static unsigned char delay[ ARR_SIZE ] ; 


unsigned char prngA( void ) ; 
long prngB( void ) ; 


void init_algM( void ) 
long i ; 


for (i= 0; i < ARR SIZE ; i++ ) 
delay [i] = prngA() ; 


} /* init algM */ 


unsigned char algM( void ) 


long j,v ; 

j = prngB() % ARR_SIZE ; /* get the delay[] index */ 
v = delaylj] ; /* get the value to return */ 
delay[j] = prngA() ; /* replace it */ 


return (v) ; 
} /* algm */ 





如 果 prngA 为 真 随机 的 ， 那 么 这 个 算法 足够 强 ， 没 有 人 能 得 到 关于 prngB 的 任何 东西 
(因此 不 能 进行 密码 分 析 )。 如 果 prngA 有 可 以 进行 密码 分 析 的 形式 ， 只 有 按 次 序 输出 (也 


就 是 说 ， 只 有 prngB 先 被 密码 分 析 )， 且 它 是 真 随机 的 时 ， 组 合 才 是 安全 的 。 


16. 12 PKZIP 算法 


Roger Schlafly 设计 了 这 个 算法 ， 并 把 它 嵌 入 PKZIP 数据 压缩 程序 中 。 它 是 一 个 一 次 加 
密 一 字 节 的 序列 密码 算法 。 至 少 ，2. 04g 版 本 的 算法 是 这 样 的 。 我 不 能 预测 以 后 的 版 本 ， 除 
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非 有 相关 通告 使 你 能 假设 它们 是 相同 的 。 
该 算法 使 用 了 3 个 32 位 变量 ,初始 化 如 下 : 
K,= 305419896 
K,= 591751049 
K,= 878082192 
它 有 一 个 从 K: 派生 出 来 的 8 FERH K;。 算 法 如 下 〈 所 有 符号 均 为 标准 的 C 符号 ) : 
C= P; A K; 
o= crce32(K,,P;) 
Ki= K, + (K, & 0x000000ff) 
i= Ki X 134775813 +1 
K= crce32(K,,K, >> 24) 
K;= ((K,|2) X (C(K;|2) A 1)) >>8 
函数 crc32 将 前 一 个 值 和 一 个 字 节 相 异 或 ， 然 后 用 由 Oxedb88320 表示 的 CRC 多 项 式 计 
算 下 一 个 值 。 实 际 上 ， 可 以 预先 计算 一 个 256 项 的 表 ，crc32 计算 如 下 : 
erc32(a,b) = (a >> 8) A table[ (a & Oxff) ® b] 
该 表 是 通过 crc32 前 面 的 定义 计算 出 来 的 : 
table[i] = crc32(i,0) 
为 了 加 密 明 文 序列 ， 首 先 利 用 加 密 算法 对 密 钥 字 节 进行 循环 更 新 。 在 这 步 中 忽略 密 文 输 
出 。 然 后 加 密 明 文 ， 一 次 加 密 一 字 节 。 将 随机 产生 的 12 字 节 作为 明文 ， 但 是 它 并 不 真正 重 
要 。 除 了 在 算法 的 第 二 步 中 用 C; 代替 已, 外 ， 解 密 与 加 密 类 似 。 


PKZIP 的 安全 性 

不 幸 的 是 ，PKZIP 的 安全 性 并 不 好 。 一 次 攻击 需要 40 一 200 字 节 的 已 知 明文 并且 时 
间 复 杂 性 大 约 为 270% 。 在 个 人 计算 机 上 只 需要 数 小 时 就 可 以 完成 它 。 如 果 压 缩 文件 有 任何 
标准 的 标题 ， 那 么 得 到 已 知 明文 就 不 成 问题 。 建 议 不 要 在 PKZIP 中 使 用 这 种 内 置 的 加 密 
方式 
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17.1 RC4 算法 


RC4 是 Ron Rivest 在 1987 年 为 RSA 数据 安全 公司 开发 的 可 变 密 钥 长 度 的 序列 密码 。 
在 开始 的 七 年 中 它 有 专利 ， 算 法 的 细节 仅 在 签署 保密 协议 后 才能 得 到 。 

1994 年 9 月 ， 有 人 把 它 的 源 代码 匿名 张贴 到 Cypherpunks 邮件 列表 中 。 该 代码 迅速 传 
到 Usenet 新 闻 组 sci. crypt 栏目 中 ， 并 且 通 过 互联 网 传 遍 了 全 世界 的 ftp 站 点 。 拥 有 RC 合 
法 副本 的 用 户 对 它 进行 了 完全 的 验证 。RSA 数据 安全 公司 试图 亡羊补牢 ， 宣 称 即使 代码 公 
开 它 仍然 是 商业 秘密 ， 但 一 切 都 太 晚 了 。 后 来 它 在 Usenet 上 得 到 了 讨论 和 仔细 的 研究 ， 在 
各 种 会 议 上 散发 ， 在 密码 学 课程 上 讲解 。 

RC4 可 以 简单 地 描述 。 该 算法 以 OFB 方式 工作 : 密 钥 序列 与 明文 相互 独立 。 它 有 一 个 
8X8 的 S 盒 : S,。，Si，…，Szss。 所 有 项 都 是 数字 0 一 255 的 置换 ， 并 且 这 个 置换 是 一 个 可 
变 长 度 密 钥 的 函数 。 它 有 两 个 计数 器 :和 7 ， 初 值 为 0。 

要 产生 随机 字 节 ， 需 要 按 下 列 步 又 进行 : 

i = (i+1)mod 256 

j = (j + S:)mod 256 


交换 S; FS; 
t = (S; + S,)mod 256 
K =S, 


字 节 K 与 明文 异 或 产生 密 文 或 者 与 密 文 异 或 产生 明文 。 加 密 速 度 很 快 一 一 大 约 比 DES 
快 10 倍 。 

初始 化 S 盒 也 很 容易 。 首 先 ， 进 行 线性 填充 : So=0, S51, =t, So: = 255. RAI 
密 钥 填充 另 一 个 256 字 节 的 数组 ， 不 断 重 复 密 钥 直至 填充 整个 数组 : Kos Kis vty Kass. 
将 指针 7 设 为 0。 然 后 : 

对 于 i 二 0 至 255 

J 一 (J 十 S 十 天,)mod 256 

交换 S: FS; 

以 上 就 是 全 部 的 描述 。RSA 数据 安全 公司 宣称 该 算法 对 差分 和 线性 分 析 是 免疫 的 ， 
似乎 没有 任何 的 小 循环 ， 并 有 很 高 的 非 线性 (没有 公开 的 密码 分 析 结 果 。RC4 KAA 
27 (256! X256") 种 可 能 的 状态 ， 一 个 巨大 的 数字 )。S 盒 在 使 用 中 慢 慢 改变 : i 保证 
每 个 元 素 的 改变 和 7 保证 元 素 随 机 地 改变 。 算 法 简单 到 足以 使 大 多 数 程 序 员 能 很 快 地 对 它 
进行 编程 。 

用 大 的 S 盒 和 字 长 来 实现 这 个 思想 是 可 能 的 。 早 期 版 本 是 8 位 RC4。 没 有 任何 理由 不 能 
用 一 个 16X16 的 S 盒 〈100K 存储 空间 ) 和 一 个 16 位 字 定义 16 位 RC4。 你 不 得 不 对 初始 设 
BAREK (65 536 次 可 保证 与 设计 目标 一 致 );， 但 最 终 算法 应 该 更 快 。 

WR RC4 的 密 钥 长 度 在 40 位 或 者 以 下 (参见 13. 8 节 )， 它 可 允许 出 口 。 出 口 与 算法 保 
密 无 关 ， BA RSA 数据 安全 公司 已 使 算法 保密 多 年 。 这 个 名 字 已 经 商标 化 ， 因 此 任何 自己 
编写 代码 的 人 都 不 得 以 这 个 名 字 命 名 。RSA 数据 安全 公司 的 很 多 内 部 文档 尚未 公布 
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于 众 0320.337] 。 

因此 ， 怎 么 看 待 RC4 呢 ? 它 已 不 再 是 一 个 商业 秘密 ， 任 何人 都 可 以 使 用 它 。 然 而 ， 
RSA 数据 安全 公司 几乎 会 控告 在 商业 产品 中 未 经 许可 使 用 RC4 的 任何 人 。 他 们 不 一 定 能 
赢 ， 但 他 们 相信 对 于 一 个 公司 来 说 ， 打 官司 所 花费 的 钱 比 购买 许可 证 所 花 的 钱 更 多 。 

RC4 广泛 应 用 于 商业 密码 产品 中 ， 包 括 Lotus Notes, RIE HLA) AOCE 和 Oracle 安 
全 SQL 数据 库 。 它 还 是 蜂窝 数字 数据 包 数 据 规范 的 一 部 分 "1 。 


17.2 SEAL 算法 


SEAL 是 IBM 的 Phil Rogaway 和 Don Coppermfith 设计 的 一 种 对 软件 有 效 的 序列 密 
PU) 。 该 算法 针对 32 位 处 理 器 优化 : ERE 8 个 32 位 寄存 器 和 较 多 字 节 的 缓存 才能 很 好 
地 运行 。SEAL 预先 采用 相对 较 慢 的 速度 将 密 钥 放 入 一 组 表 中 ， 这 些 表 将 用 来 加 快 加 密 和 解 
密 的 速度 。 


17.2. 1 i RBHL AK 

SEAL 的 一 个 特性 就 是 它 并 不 是 传统 意义 上 的 序列 密码 : 它 是 一 个 伪 随 机 函数 族 
(preudo random function family) 。 给 定 一 个 160 位 密 钥 & 和 一 个 32 fin, SEAL $ n ER 
一 个 工 位 串 &(n) 中 。L 可 以 赋值 为 小 于 64KB 的 任何 值 。SEAL 有 一 种 属性 ， 即 如 果 上 是 
随机 选择 的 ， 那 么 在 计算 上 无 法 区 分 k(n) 与 7 的 随机 L 位 函数 。 

作为 一 个 伪 随 机 函数 族 ，SEAL 的 实际 影响 就 是 它 能 应 用 在 传统 序列 密码 不 能 用 的 地 
方 。 使 用 大 多 数 序列 密码 只 能 单 向 产生 位 序列 : 已 知 密 钥 和 一 个 位 置 ?， 那 么 确定 产生 第 i 
位 的 唯一 方法 就 是 产生 第 i 位 之 前 所 有 的 位 。 但 伪 随 机 函数 族 不 同 : 你 可 以 轻易 访问 密 钥 序 
列 中 任何 你 所 想 访 问 的 地 方 。 这 一 点 非常 有 用 。 

假设 你 需要 保护 一 个 硬盘 驱动 器 。 你 想 加 密 每 个 512 THK. PEAR SEAL 的 
伪 随 机 函数 族 ， 可 以 通过 将 扇 区 ) 的 内 容 与 &(n) 异 或 来 对 它 进行 加 密 。 这 样 整个 驱动 器 看 
起 来 就 像 用 一 个 长 的 伪 随 机 串 异 或 ， 而 这 个 长 串 的 任意 部 分 都 能 被 轻易 计算 出 来 。 

伪 随 机 函数 族 也 简化 了 在 标准 序列 密码 中 遇 到 的 同步 问题 。 假 设 你 通过 一 个 有 时 会 丢失 
消息 的 通道 发 送 加 密 消 息 。 使 用 伪 随 机 函数 族 ， 你 可 以 基于 将 传输 的 第 n 个 消息 zx, 加 密 
为 n， 同 时 与 x, 和 是 &(z) 的 异 或 相 加 。 接 收 者 不 必 保存 任何 状态 来 恢复 z, ， 也 不 必 担 心 丢 
失 的 消息 会 对 解密 过 程 产生 影响 。 


17.2.2 SEAL 的 描述 


SEAL 的 内 部 循环 见 图 17-1。3 个 源 密 钥 表 R、S 和 本 用 来 驱动 算法 。 预 处 理 阶 段 使 用 
基于 SHA 的 方法 将 密 钥 映射 到 (参见 18.7 节 ) 这 3 张 表 中 。2KB 的 表 械 是 一 个 9X32 
SE. 

SEAL 使 用 了 4 个 32 位 寄存 器 : A, BL C, D, HIEN n MRRA TRE. REFF 
器 通过 数 次 迭代 来 改变 ， 每 个 迭代 包括 8 轮 。 在 每 轮 中 ， 第 一 个 寄存 器 (A, B, C, KD) 的 
9 位 作为 查 表 了 的 地 址 。 将 从 工 中 得 到 的 值 与 第 二 个 寄存 器 CAL BL, CRD) 的 内 容 相 加 或 
者 异 或 。 然 后 第 一 个 寄存 器 环 移 9 位 。 在 某 些 轮 中 ， 由 于 第 二 个 寄存 器 与 第 一 个 寄存 器 (已 经 
移 位 ) 相 加 或 异 或 而 发 生 更 大 的 改变 。 这 样 ，8 轮 后 ,将 A、B、C、D 加 到 密 钥 序列 中 ， 每 一 
个 掩 码 都 首先 与 S 中 一 个 确定 的 字 相 加 或 异 或 。 通 过 将 由 nn、nt 、ns、n; 和 nm 所 决定 的 附加 值 
加 到 A 和 C 上 来 完成 迭代 ， 该 附加 值 具体 是 哪 一 个 取决 于 迭代 次 数 的 奇偶 性 。 
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图 17-1 SEAL 的 内 部 循环 


在 设计 中 最 重要 的 思想 似乎 是 : 

(1) 使 用 一 个 大 的 、 秘 密 的 、 密 钥 派 生 的 S 盒 D. 

(2) 交替 使 用 不 交换 的 算法 运算 (加 和 蜡 或 )。 

G) 使 用 一 个 在 数据 序列 中 未 直接 修改 的 密码 所 支持 的 内 部 状态 (n; 的 值 在 每 次 迭代 
结束 时 改变 A AC 的 值 ) 。 

CA) 根据 轮 数 改变 轮 函 数 ， 根 据 迭 代 次 数 改变 迭代 函数 。 

SEAL 需要 大 约 5 个 基本 机 器 运算 来 加 密 明 文 的 每 个 字 节 。 在 50MHz 的 486 机 器 上 它 
每 秒 运算 58Mb。 这 可 能 是 本 书 中 最 快 的 软件 算法 。 

男 一 方面 ，SEAL 必须 将 它 的 密 钥 预 处 理 到 内 部 表 中 。 这 些 表 大 概 有 3KB， 并 且 它 们 的 
计算 大 约 需 要 200 个 SHA 计算 。 因 此 ，SEAL 不 能 用 在 没有 预 处 理 密 钥 时 间或 没有 内 存 来 
保存 表 的 情况 下 。 


17.2.3 SEAL 的 安全 性 

SEAL 是 一 个 新 的 算法 ， 还 没有 任何 公开 的 密码 分 析 。 在 使 用 时 需要 小 心 。 尽 管 如 此 ， 
SEAL 仍 是 一 个 好 的 算法 。 最 终 它 的 特性 的 确 能 产生 许多 好 的 想法 ， 并且 Don Coppersmith 
被 认为 是 世界 上 最 聪明 的 密码 分 析 家 。 
17.2.4 专利 和 许可 证 

SEAL 有 专利 权 5s% 。 任 何 希望 得 到 SEAL 许可 证 的 人 都 必须 与 专利 权 的 拥有 者 联系 : 
IBM Corporation，500Columbus Ave. ，Thumwood，NY，10594。 
17.3 WAKE 算法 


WAKE 是 David Wheeler 发 明 的 字 自 动 密 钥 加 密 算 法 058] 。 它 产生 一 个 32 位 字 串 与 明 
文 序列 异 或 形成 的 密 文 ， 或 者 同 密 文 序列 异 或 形成 的 明文 ， 并 且 它 的 速度 很 快 。 


286 + 第 三 部 分 密码 算法 


WAKE 工作 在 CFB 模式 下 ， 前 一 个 密 文 字 用 来 产生 下 一 个 密 钥 字 。 它 也 使 用 了 一 个 包 
A 256 个 32 位 值 的 S 盒 。 这 个 S 盒 具有 如 下 特性 : 所 有 项 的 高 字 节 是 所 有 可 能 字 节 的 置换 ， 
且 低 3 字 节 是 随机 的 。 

首先 ， 从 密 钥 中 产生 S 盒 的 一 项 S;。 然 后 用 密 钥 (或 者 男 一 个 密 钥 ) 初始 化 4 个 寄存 
fit: Ao. bos Co 和 do。 产生 一 个 32 位 密 钥 序列 字 Ki: 

K; =d; 

密 文 字 C; 是 明文 字 P: 与 K; 异 或 的 结果 。 

然后 ， 更 新 4 个 寄存 器 : 


aai = M(a;,d;) 
baa = MOCO; saim) 
cai = MCcisbua) 
daa = M(disca) 


函数 M 为 
Marry) = (Z 十 y) > 8 © Sctyy pass 
这 个 过 程 表示 在 图 17-2 H. BRET SD RMAB,. ADM. rty 的 低 8 位 是 S 盒 的 输 
A. Wheeler 给 出 了 产生 S 盒 的 过 程 ， 但 实际 上 并 不 是 这 样 的 。 任 何 一 个 产生 随机 字 节 和 随 
机 置换 的 算法 都 可 用 来 产生 S 盒 。 

















图 17-2 WAKE 算 法 


WAKE 的 最 大 优点 是 它 的 速度 快 。 然 而 ， 对 某 些 选择 明文 和 选择 密 文 攻击 来 说 ， 它 不 
安全 。 它 用 在 Solomon 博士 的 抗 病毒 软件 的 当前 版 本 中 。 


17.4 带 进位 的 反馈 移 位 寄存 器 


带 进位 的 反馈 移 位 寄存 器 也 称 为 FCSR， 与 LFSR 类 似 。 它 们 都 有 一 个 移 位 寄存 器 和 一 
个 反馈 函数 。 不 同 之 处 在 于 ，FCSR 有 一 个 进位 寄存 器 〈 见 图 17-3) 。 它 不 是 把 抽 头 序列 中 
所 有 的 位 异 或 ， 而 是 把 所 有 的 位 相 加 ， 并 与 进位 寄存 器 的 值 相 加 。 将 结果 除 以 2 就 得 到 进位 
寄存 器 新 值 。 
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移 位 寄存 器 























图 17-3 带 进位 的 反馈 移 位 寄存 器 


图 17-4 是 一 个 在 第 一 位 和 第 二 位 抽 头 的 3 位 FCSR 的 例子 。 它 的 初始 值 是 001， 进 位 寄 
存 器 初始 值 是 0。 输 出 位 是 移 位 寄存 器 最 右 端的 一 位 。 





图 17-4 3 位 FCSR 


移 位 寄存 器 进位 寄存 器 

001 

100 

010 

101 

110 

111 

011 

101 

010 

001 

000 

100 

注意 ， 最 后 的 内 部 状态 〈 包 括 进位 寄存 器 的 值 ) 与 第 二 个 内 部 状态 是 一 样 的 。 此 时 序列 
将 循环 ， 且 它 的 周期 为 10。 

这 里 有 几 点 要 注意 。 第 一 ， 进 位 寄存 器 不 是 一 位 ， 它 是 个 数 。 进 位 寄存 器 最 小 必须 为 
log:z， 其 中 上 是 抽 头 的 数目 。 在 前 面 的 例子 中 只 有 两 个 抽 头 ， 因 此 进位 寄存 器 只 有 一 位 。 如 
RA 4 个 抽 头 ， 进 位 寄存 器 就 有 两 位 ， 其 值 可 以 是 0、1、2 或 3。 

第 二 ， 在 FCSR 稳定 到 它 的 重复 周期 之 前 ， 有 一 个 初始 瞬 态 值 。 在 前 面 的 例子 中 ， 只 有 
一 个 状态 永远 不 会 重复 。 对 于 更 大 更 复杂 的 FCSR， 就 可 能 有 更 多 的 状态 。 


OP OO O O O fo Oo 
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第 三 ，FCSR 的 最 大 周期 不 是 2" 一 1， 其 中 n 是 移 位 寄存 器 的 长 度 。 最 大 周期 是 g 一 1， 

其 中 g 是 连接 整数 (connection integer) 。 这 个 数 给 出 了 抽 头 数 ， 且 定义 为 : 
| 

GER, q “是 从 左 向 右 计 数 的 .。) 更 坏 情况 下 ，g 是 个 以 2 为 本 原 根 的 素数 。 以 下 假 
定 gq 是 这 种 形式 。 

在 这 个 例子 中 ,gq 二 2X0 十 4X1 十 8X1 一 1 二 11。 并 且 11 是 一 个 以 2 为 本 原 根 的 素数 。 
因此 ， 最 大 周期 是 10。 

并 不 是 所 有 的 初 值 都 给 出 最 大 周期 。 例 如 ， 当 初始 值 为 101 并 且 进 位 寄存 器 置 为 4 时 ， 


让 我 们 看 看 FCSR 。 
移 位 寄存 器 进位 寄存 器 
101 4 
110 2 
111 
111 1 


此 时 ， 寄 存 器 不 停 地 产生 一 个 为 常数 1 的 序列 。 

任何 初始 值 将 产生 以 下 4 件 事 中 的 一 个 : 第 一 ， 它 是 最 长 周期 的 一 部 分 ; 第 二 ， 它 在 初 
始 值 后 达到 最 大 周期 ;第 三 ， 它 在 初始 值 后 变 为 一 个 全 0 序列 ; 第 四 ， 它 在 初始 值 后 变 为 全 
1 序列 。 

有 一 个 数学 公式 用 于 确定 给 出 初始 值 后 哪 种 情况 将 发 生 ， 但 测试 它 太 简单 了 。 运 行 FC- 
SR—AJL (如果 m 是 初始 存储 空间 ,上 是 抽 头 数 ， 则 需 运 行 log: (t) + log, (m) 十 1 步 )， 如 
果 它 在 nn 位 内 退化 成 一 个 全 0 或 全 1 序列 ， 其 中 ,nn 为 FCSR 的 长 度 ， 那 么 不 要 用 它 ; WR 
没有 ， 则 可 以 用 它 。 因 为 FCSR 的 初始 值 对 应 着 序列 密码 的 密 钥 ， 这 就 意味 着 基于 FCSR 的 
发 生 器 将 有 弱 密 钥 。 

# 17-1 列 出 了 所 有 以 2 为 本 原 根 的 小 于 10 000 的 连接 整数 ， 它 们 都 有 最 大 周期 g 一 1。 
为 了 把 这 些 数 之 一 变 成 抽 头 序列 ， 必 须 计算 g 十 1 的 二 进 制 展开 。 例 如 ，9949 可 以 转化 为 抽 
头 序列 1，2，3，4，6，7，9，10 和 13， 因 为 

9950=2 +2) -+ 29 +27 +25 +24 +-25-+-2? +2) 


表 17-1 最 长 周期 FCSR 的 连接 整数 


2 131 349 557 797 
5 139 373 563 821 
11 149 379 587 827 
13 163 389 613 829 
19 173 419 619 853 
29 179 421 653 859 
37 181 443 659 877 
53 197 461 661 883 
59 211 467 677 907 
61 227 491 701 941 
67 269 509 709 947 
83 293 523 757 1019 
101 317 541 773 1061 
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(8) 
1109 1949 2741 3659 4493 
1117 1973 2789 3677 4507 
1123 1979 2797 3691 4517 
1171 1987 2803 3701 4547 
1187 1997 2819 3709 4603 
1213 2027 2837 3733 4621 
1229 2029 2843 3779 4637 
1237 2053 2851 3797 4691 
1259 2069 2861 3803 4723 
1277 2083 2909 3851 4787 
1283 2099 2939 3853 4789 
1291 2131 2957 3877 4813 
1301 2141 2963 3907 4877 
1307 2213 3011 3917 4933 
1373 2221 3019 3923 4957 
1381 2237 3037 3931 4973 
1427 2243 3067 3947 4987 
1451 2267 3083 3989 5003 
1453 2269 3187 4003 5011 
1483 2293 3203 4013 5051 
1493 2309 3253 4019 5059 
1499 2333 3299 4021 5077 
1523 2339 3307 4091 5099 
1531 2357 3323 4093 5107 
1549 2371 3347 4099 5147 
1571 2389 3371 4133 5171 
1619 2437 3413 4139 5179 
1621 2459 3461 4157 5189 
1637 2467 3467 4219 5227 
1667 2477 3469 4229 5261 
1669 2531 3491 4243 5309 
1693 2539 3499 4253 5333 
1733 2549 3517 4259 5387 
1741 2557 3533 4261 5443 
1747 2579 3539 4283 5477 
1787 2621 3547 4349 5483 
1861 2659 3557 4357 5501 
1867 2677 3571 4363 5507 
1877 2683 3581 4373 5557 
1901° 2693 3613 4397 5563 
1907 2699 3637 4451 5573 
1931 2707 3643 4483 5651 
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( 续 ) 
5659 6547 7331 8179 9173 
5683 6619 7349 8219 9181 
5693 6637 7411 8221 9203 
5701 6653 7451 8237 9221 
5717 6659 7459 8243 9227 
5741 6691 7477 8269 9283 
5749 6701 7499 8291 9293 
5749 6709 7507 8293 9323 
5813 6733 7517 8363 9341 
5827 6763 7523 8387 9349 
5843 6779 7541 8429 9371 
5851 6781 7547 8443 9397 
5869 6803 7549 8467 9419 
5923 6827 7573 8539 9421 
5939 6829 7589 8563 9437 
5987 6869 7603 8573 9467 
6011 6883 7621 8597 9491 
6029 6899 7643 8627 9533 
6053 6907 7669 8669 9539 
6067 6917 7691 8677 9547 
6101 6947 7717 8693 9587 
6131 6949 7757 8699 9613 
6173 6971 7789 8731 9619 
6197 7013 7829 8741 9629 
6203 7019 7853 8747 9643 
6211 7027 7877 8803 9661 
6229 7043 7883 8819 9677 
6269 7069 7901 8821 9733 
6277 7109 7907 8837 9749 
6299 7187 7933 8861 9803 
6317 7211 7949 8867 9851 
6323 7219 8053 8923 9859 
6373 7229 8069 8933 9883 
6379 7237 8093 8963 9901 
6389 7243 8117 8971 9907 
6397 7253 8123 9011 9923 
6469 7283 8147 9029 9941 
6491 7307 8171 9059 9949 





K 17-2 列 出 了 对 于 32, 64 和 128 位 移 位 寄存 器 ， 产 生 最 大 长 度 FCSR 的 所 有 4 抽 头 序 
Bi, WME a. b, c 和 4 的 结合 产生 了 一 个 以 2 为 本 原 根 的 素数 q。 


(32, 6, 
(32, 7, 
(32, 8, 
(32, 13, 
(32, 13, 
(32, 15, 
(32, 16, 
(32, 16, 
(32, 16, 
(32, 17, 
(32, 19, 


(32, 195 5 


(32, 19, 
(32, 19, 
(32, 19, 
(32, 20, 
(32, 21, 
(32, 21, 
(32, 23, 
(32, 23, 
(32, 25, 
(32 .255 
(32, 27, 
(32, 29, 
(32, 29, 
(32, 30, 
(32, 30, 
(32, 31, 
(32, 31, 
(32, 31, 


(64, 3, 
(64, 14, 
(64, 15, 
(64, 17, 
(64, 17, 
(64, 17, 
(64, 19, 
(64, 19, 


3, 2) 


19, 2) 
20, 2) 


16, 2) 
2, 1) 
18, 2) 
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quo +2) +e -+24=1 


R 17-2 RAKE FCSR 的 抽 头 序列 


(64, 24, 
(64, 25, 
(64, 25, 
(64, 25, 
(64, 25, 


(64, 27, 5 


(64, 27, 
(64, 27, 
(64, 28, 
(64, 28, 
(64, 29, 
(64, 29, 
(64, 31, 
(64, 32, 
(64, 35, 
(64, 36, 
(64, 37, 
(64, 37, 
(64, 39, 
(64, 39, 
(64, 41, 
(64, 41, 
(64, 41, 
(64, 43, 
(64, 43, 
(64, 45, 
(64, 45, 
(64, 47, 
(64, 47, 
(64, 47, 
(64, 49, 
(64, 49, 
(64, 52, 
(64, 53, 
(64, 53, 
(64, 56, 
(64, 56, 
(64, 59, 
(64, 59, 


19, 2) 


(64, 


(64, 5 


(64, 
(64, 
(64, 
(64, 
(64, 


(64, 


(96, 
(96, 
(96, 
(96, 
(96, 
(96, 

(96, 
(96, 
(96, 

(96, 
(96, 
(96, 
(96, 
(96, 

+ (96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 


59, 


28, 2) 


38, 2) 
44, 2) 


49, 2) 


55, 
56, 

56, 
57, 


57, 


53, 2) 
9, 2) 
51, 2) 
35 2) 
17, 2) 
47, 2) 
35, 2) 
46, 2) 
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( 续 ) 
(96, 83, 60, 2) (128, 31, 25, 2) (128, 81, 55, 2) (128, 105, 11, 2) 
(96, 83, 65, 2) 1285 33; Zl, 2) (128, 82, 67, 2) (128, 105, 31, 2) 
(96, 83, 78, 2) (128, 35, 22, 2) (128, 83, 60, 2) (128, 105, 48, 2) 
(96, 84, 65, 2) (128, 37, 8, 2) (128, 83, 61, 2) (128, 107, 40, 2) 
(96, 85, 17, 2) (128, 41, 12, 2) (128, 83, 77, 2) (128, 107, 62, 2) 
(96, 85, 31, 2) (128, 42, 35, 2) (128, 84, 15, 2) (128, 107, 102, 2) 
(96, 85, 76, 2) (128, 43, 25, 2) (128, 84, 43, 2) (128, 108, 35, 2) 
(96, 85, 79, 2) (128, 43, 42, 2) (128, 85, 63, 2) (128, 108, 73, 2) 
(96, 86, 39, 2) (128, 45, 17, 2) (1285 873 57s 2) (128, 108, 75, 2) 
(96, 86, 71, 2) (128, 45, 27, 2) (128, 87, 81, 2) (128, 108, 89, 2) 
(96, 87, 9, 2) (128, 49, 9, 2) (128, 89, 81, 2) (128, 109, 11, 2) 
(96, 87, 44, 2) (128, 51, 9, 2) (128, 90, 43, 2) (128, 109, 108, 2) 
(96, 87, 45, 2) (128, 54, 51, 2) (128, 91, 9, 2) (128, 110, 23, 2) 
(96, 88, 19, 2) (128, 55, 45, 2) (128, 91, 13, 2) (128, 111, 61, 2) 
(96, 88, 35, 2) (128, 56, 15, 2) (128, 91, 44, 2) (128. 113, 59, 2) 
(96, 88, 43, 2) (128, 56, 19, 2) (128, 92, 35, 2) (128, 114, 83, 2) 
(96, 88, 79, 2) (128, 56, 55, 2) (128, 95, 94, 2) (128, 115, 73, 2) 
(96, 89, 35, 2) (128, 57, 21, 2) (128, 96, 23, 2) (128, 117, 105, 2) 
(96, 89, 51, 2) (1285 ‘575, 375 2) (128, 96, 61, 2) (128, 119, 30, 2) 
(96, 89, 69, 2) (128, 59, 29, 2) (128, 97, 25, 2) (128, 119, 101, 2) 
(96, 89, 87, 2) (128, 59, 49, 2) (128, 97, 68, 2) (128, 120, 9, 2) 
(96, 92, 51, 2) (128, 60, 57, 2) (128, 97, 72,5 2) (128, 120, 27, 2) 
(96, 925, 71, 2) (128, 61, 9, 2) (1285 97s 757 2) (128, 120, 37, 2) 
(96, 93, 32, 2) (128, 61, 23, 2) (128, 99, 13, 2) (128, 120, 41, 2) 
(96, 93, 39, 2) (128, 61, 52, 2) (128, 99, 14, 2) (128, 120, 79, 2) 
(96, 94, 35, 2) (128, 63, 40, 2) (128, 99, 26, 2) (128, 120, 81, 2) 
(96, 95, 4, 2) ， (128, 63, 62, 2) ° (128, 99, 54, 2) (128, 121, 5, 2) 
(96, 95, 16, 2) (128, 67, 41, 2) (128, 99, 56, 2) (128, 121, 67, 2) 
(96, 95, 32, 2) (128, 69, 33, 2) (128, 99, 78, 2) (128, 121, 95, 2) 
(96, 95, 44, 2) (128, 71, 53, 2) (128, 100, 13, 2) (128, 121, 96, 2) 
(96, 95, 45, 2) (128, 72, 15, 2) (128, 100, 39, 2) (128, 123, 40, 2) 
(128, 72, 41, 2) (128, 101, 44, 2) (128, 123, 78, 2) 
(128, 5, 4, 2) (128, 73, 5, 2) (128, 101, 97, 2) (128, 124, 41, 2) 
(128, 15, 4, 2) (128, 73, 65, 2) (128, 103, 46, 2) (128, 124, 69, 2) 
(128, 21, 19, 2) (128, 73, 67, 2) (128, 104, 13, 2) (128, 124, 81, 2) 
(128, 25, 5, 2) (128, 75, 13, 2) (128, 104, 19, 2) (128, 125, 33, 2) 
(128, 26, 11, 2) (128, 80, 39, 2) (128, 104, 35, 2) (128, 125, 43, 2) 
(128, 27, 25, 2) (128, 80, 53, 2) (128, 105, 7, 2) (128, 127, 121, 2) 


这 些 抽 头 序列 中 任何 一 个 都 能 用 来 创建 一 个 周期 为 g 一 1 的 FCSR。 

把 FCSR 用 在 密码 学 中 的 观点 非常 新 ，Andy Klapper 和 Mark Goresky 是 这 方面 的 先 
HLA 845.654.843.846] | EF LFSR 的 分 析 基 于 本 原 多 项 式 模 2 一 样 ，FCSR 的 分 析 基 于 称 为 2-adic 
的 数 。 该 理论 已 经 超出 了 本 书 的 范畴 ， 但 任何 事物 都 是 类 似 的 。 加 好 像 你 如 果 可 以 定义 线性 
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复杂 性 一 样 ， 也 可 以 定义 2-adic 复杂 性 。 甚 至 有 类 似 于 Berlekamp-Massey 算法 的 2-adic 算 
法 。 这 就 意味 着 潜在 的 序列 密码 列 至 少 必须 加 倍 。 用 LFSR 能 做 的 任何 事 在 FCSR 中 同样 也 
能 做 。 

对 这 种 思想 已 有 进一步 的 增强 ， 其 中 包括 多 级 进位 寄存 器 。 这 些 序 列 发 生 器 的 分 析 基 于 
2-adic 数 的 分 支 扩展 1。 


17.5 使 用 FCSR 的 序列 密码 

在 文献 中 没有 任何 有 关 FCSR 序列 密码 的 记载 ， 该 理论 很 新 。 为 了 抓 住 关键 ， 我 这 里 有 
些 建议 。 我 提出 两 个 不 同 的 方法 : 一 是 ， 建 议 用 和 LFSR 发 生 器 一 样 的 FCSR 序列 密码 ， 二 
是 ， 建 议 同时 使 用 FCSR 和 LFSR 序列 密码 。 前 者 的 安全 或 许可 以 用 2-adic 数 来 分 析 ， 后 者 
不 能 用 代数 方法 来 分 析 一 一 它们 大 概 只 能 间接 地 分 析 。 无 论 采 用 哪 种 方式 ， 选 择 周 期 互 素 的 
LFSR 和 FCSR 是 很 重要 的 。 

所 有 这 些 以 后 都 将 出 现 。 目 前 我 还 不 知道 有 这 些 思想 的 实现 或 分 析 。 在 你 相信 这 些 之 
前 ， 还 是 先 等 上 几 年 并 仔细 浏览 有 关 这 方面 的 文献 。 


17.5.1 级 联 发 生 器 


在 级 联 发 生 器 中 ， 有 两 种 方法 使 用 FCSR : 
。 FCSR 级 联 。 用 FCSR 代替 LFSR 的 Gollmann RK. 
。 LFSR/FCSR 级 联 。 交 替 使 用 LEFSR 和 FCSR 的 Gollmann 级 联 。 


17.5.2 FCSR 组 合 发 生 器 

该 发 生 器 使 用 可 变数 目的 LFSR 和 域 FCSR 以 及 它们 的 组 合 函 数 。 异 或 运算 可 以 消除 
FCSR 的 代数 特性 ， 因 此 可 用 它 来 组 合 它们 。 图 17-5 给 出 了 一 个 使 用 可 变数 目 FESR 的 发 生 
器 。 它 的 输出 是 FCSR 输出 的 异 或 。 


寄存 器 1 








L em | 一 一 





| FER | 一 一 一 组 合 函 数 





图 17-5 组 合 发 生 器 








其 他 类 似 的 发 生 器 有 : 

。 FCSR 奇偶 发 生 器 。 所 有 寄存 器 都 是 FCSR， 并 且 组 合 函 数 是 异 或 。 

。 LFSR/FCSR 奇偶 发 生 器 。 寄 存 器 是 LFSR 和 FCSR 的 混合 ， 并 且 组 合 函 数 是 异 或 。 
。 FCSR 门限 发 生 器 。 所 有 寄存 器 都 是 FCSR， 并 且 组 合 函 数 是 多 数 逻 辑 函 数 。 

。 LFSR/FCSR 门限 发 生 器 。 寄 存 器 是 LFSR 和 FCSR 的 混合 ， 并 且 组 合 函 数 是 多 数 
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逻辑 函数 。 

。 FCSR 加 法 发 生 器 。 所 有 寄存 器 都 是 FCSR， 并且 组 合 函 数 是 带 进位 的 加 法 。 

。 LFSR/FCSR 加 法 发 生 器 。 寄 存 器 是 LFSR 和 FCSR 的 混合 ， 并 且 组 合 函 数 是 带 进 
位 的 加 法 。 


17.5.3 LFSR/FCSR 加 法 /奇偶 级 联 

该 发 生 器 的 理论 基础 是 带 进位 的 加 法 可 去 掉 LFSR 的 代数 特性 ， 且 异 或 可 去 掉 FCSR 的 
代数 特性 。 发 生 器 用 Gollmann 级 联 组 合 了 采用 上 述 思 想 的 LFSR/FCSR 加 法 发 生 器 和 LF- 
SR/FCSR 奇偶 发 生 器 ， 这 两 种 发 生 器 在 上 面 都 提 及 了 。 

该 发 生 器 是 一 组 寄存 器 ， 每 一 组 的 时 钟 都 被 前 一 组 的 输出 控制 。 图 17-6 是 这 种 发 生 器 
的 一 级 。 第 一 组 LFSR 被 钟 控 ， 其 结果 进入 带 进 位 的 加 法 器 中 。 如 果 这 个 组 合 函 数 的 输出 是 
1， 那 么 下 一 组 (FCSR) 就 被 钟 控 ， 且 这 些 FCSR 的 输出 进入 异 或 组 合 函 数 ， 如果 第 一 个 组 
合 函 数 的 输出 是 0， 那 么 下 一 组 FCSR 就 不 会 被 钟 控 ， 且 输出 被 简单 地 加 到 前 一 轮 的 进位 
上 。 如 果 第 二 个 组 合 函 数 的 输出 是 1， 那么 第 三 组 LFSR 就 被 钟 控 ， 以 此 类 推 。 


LFSR | | 
| FCSR | 
LFSR | | 
FCSR 


带 进 位 的 
LFSR Ey acta ) 异 或 a 


s e 
LFSR FCSR 


图 17-6 REAREA 
该 发 生 器 使 用 了 很 多 寄存 器 : nXm, JEP n 是 级 数 ，m 是 每 级 的 寄存 器 数目 。 我 推荐 


n=10, m=5, 
































17.5.4 交错 停 走 式 发 生 器 


该 发 生 吉 是 用 FCSR 代 蔡 LFSR 的 停 走 式 发 生 器 。 男 外 ， 用 异 或 运算 替换 带 进位 的 加 法 
( 见 图 17-7) 。 





图 17-7 交错 停 走 式 发 生 器 
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。 FCSR 停 走 式 发 生 器 。 寄 存 器 1、 寄 存 器 2 和 寄存 3 均 为 FCSR， 并 且 组 合 函 数 是 异 或 。 

。 FCSR/LFSR 停 走 式 发 生 器 。 寄 存 器 l 是 FCSR， 寄 存 器 2 和 寄存 器 3 是 LFSR, Jf 
且 组 合 函 数 是 带 进位 的 加 法 。 

。 LFSR/FCSR 停 走 式 发 生 器 。 寄 存 器 1 是 LFSR， 寄 存 器 2 和 寄存 器 3 是 FCSR， 并 
且 组 合 函 数 是 异 或 。 


17.5.5 收缩 式 发 生 器 


有 4 个 使 用 FCSR 的 基本 发 生 器 类 型 

FCSR 收缩 式 发 生 器 。 用 FCSR 代替 LFSR 的 收缩 式 发 生 器 。 
FCSR/LFSR 收缩 式 发 生 器 。 用 LFSR 收缩 FCSR 的 收缩 式 发 生 器 。 
LFSR/FCSR 收缩 式 发 生 器 。 用 FCSR 收缩 LFSR 的 收缩 式 发 生 器 。 
FCSR 自 收 缩 式 发 生 器 。 用 FCSR 代替 LFSR 的 自 收 缩 式 发 生 器 。 


17.6 非 线 性 反馈 移 位 寄存 器 


很 容易 想象 一 个 比 LFSR 或 FCSR 中 更 复杂 的 反馈 序列 。 问 题 是 没有 任何 数学 理论 可 分 
析 它 们 。 你 可 以 获得 一 些 东 西 ， 但 那 是 什么 ? 尤其 是 ， 存 在 一 些 非 线性 反馈 移 位 寄存 器 序列 
的 问题 。 

。 在 输出 序列 中 可 能 有 些 偏差 ， 如 1 比 0 多, 或 者 游程 数 比 预期 的 少 。 

。 序列 的 最 长 周期 可 能 比 预期 的 短 。 

。 序列 的 周期 可 能 因 初 始 值 的 不 同 而 不 同 。 

。 序列 可 能 出 现 随机 性 仅 一 段 时 间 ， 然 后 “ 死 锁 ” 成 一 个 单一 的 值 (这 个 很 容易 用 最 

右 位 与 非 线 性 函数 异 或 的 方法 来 解决 )。 

男 外 ， 如 果 没 有 理论 来 对 非 线 性 反馈 移 位 寄存 器 的 安全 性 进行 分 析 ， 那 么 分 析 基 于 它们 
的 序列 密码 的 工具 将 会 很 少 。 我 们 可 以 在 序列 密码 设计 中 使 用 非 线性 反馈 移 位 寄存 器 ， 但 必 
须 小 心 。 

在 非 线 性 反馈 移 位 寄存 器 中 ， 反 馈 函 数 可 以 是 你 想 要 的 任何 形式 〈 见 图 17-8) 。 

















17-8 非 线性 反馈 移 位 寄存 器 (可 能 不 安全 ) 


图 17-9 是 一 个 采用 以 下 反馈 函数 的 3 位 移 位 寄存 器 : 新 位 是 第 一 位 乘 以 第 二 位 。 如 果 
用 值 110 初始 化 ， 它 可 以 产生 以 下 的 内 部 状态 序列 ， 

110 

011 

101 
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010 
001 
000 
000 
如 此 不 停 。 








17-9 3 位 非 线形 反馈 移 位 寄存 器 


输出 序列 是 最 低位 的 串 : 

01101000000 07s 
这 个 绝对 不 能 使 用 。 

甚至 有 更 坏 的 情况 。 如 果 初 始 值 是 100， 它 就 会 产生 010、001， 然 后 在 000 处 无 限 循环 
下 去 。 如 果 初 始 值 是 111， 它 就 会 无 限 自 循环 。 

已 经 做 了 部 分 工作 来 计算 两 个 LFSR 乘积 的 线性 复杂 性 口 650.726`1364.630.658.659] 。 建立 于 奇特 
MERO EPR LFSR 计算 的 构造 是 不 安全 的 [1 。 


17.7 其 他 序列 密码 
文献 中 还 有 很 多 其 他 的 序列 密码 ， 以 下 列 出 其 中 的 一 些 。 


17.7.1 Pless 发 生 器 


该 发 生 器 是 基于 J-K 触发 器 的 特性 来 设计 的 "2 。8 个 LFSR 驱动 4 个 J-K 触发 器 ， 每 
一 个 触发 器 为 其 中 两 个 LFSR 做 非 线 性 组 合 。 为 了 避免 从 触发 器 的 输出 可 推出 下 一 个 输出 位 
的 值 和 触发 器 的 输入 ， 需 钟 控 4 个 触发 器 ， 然 后 将 交 蔡 输出 作为 最 终 密 钥 序列 。 

通过 分 别 攻击 4 个 触发 器 中 的 每 一 个 该 算法 已 被 破译 。 另 外 ， 从 密码 学 上 来 说 ， 组 合 J-K 
触发 器 性 能 很 差 ， 这 种 类 型 的 发 生 器 容易 受到 相关 攻击 "1 。 


17.7.2 蜂窝 式 自动 发 生 器 


在 文献 [1608, 1609] 中 ，Steve Wolfram 建议 用 一 维 空间 的 蜂窝 式 自动 机 作为 一 个 伪 
随机 数 发 生 器 。 蜂 帘 式 自动 机 融 不 是 本 书 的 主题 但 Wolfram 的 发 生 器 由 一 维 位 数组 a, 
azs azs "ts aks ts a, 和 一 个 修正 函数 组 成 : 

ay = ar Olay V aan) 
该 位 从 a 值 中 取出 一 位 ， 到 底 是 哪 一 位 没有 关系 。 

该 发 生 器 产生 的 序列 看 上 去 十 分 随机 。 然 而 ， 对 这 个 发 生 器 存在 已 知 明文 攻击 ”5 。 在 
PC 机 上 只 需 n(=500) 位 就 可 破译 。 另 外 ，Paul Bardell 证 明了 蜂窝 式 自动 机 的 输出 也 可 以 
用 一 个 等 长 的 线性 反馈 移 位 寄存 器 来 产生 ， 因 此 它 也 没有 更 多 的 安全 性 6? 。 


17.7.3 1/p 发 生 器 
文献 [193] 中 提出 了 该 发 生 器 ， 并 对 它 进行 了 分 析 。 如 果 发 生 器 在 时 刻 上 内 部 状态 是 
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xz WWA 
XH = bx; mod p 
发 生 器 的 输出 是 zx, 除 以 p 的 最 低位 ， 这 里 的 除 是 取 余 数 。 为 了 获得 最 长 周期 ， 常 数 / 
All p 应 仔细 选择 : p 是 素数 而 5b 是 模 p 的 本 原 根 。 不 幸 的 是 ,该 发 生 器 是 不 安全 的 (注意 
b=2 时 ,具有 连接 整数 p 的 FCSR 输出 是 这 个 序列 的 逆 ) 。 


17.7.4 crypt(1) 


最 初 的 UNIX 加 密 算法 crypt) 是 一 种 基于 与 恩 尼 格 马 算法 相同 理论 的 序列 密码 。 有 256 
个 元 素 ， 带 反射 器 的 单 轮 代替 密码 。 轮 和 反射 器 都 从 密 钥 产 生 。 该 算法 比 第 二 次 世界 大 战 期 间 
德国 的 恩 尼 格 马 算法 简单 得 多 ， 对 于 一 个 熟练 的 密码 分 析 者 来 说 是 很 容易 破解 的 。 一 
个 称 为 密码 破译 工作 台 (CBW) 的 公开 UNIX 程序 可 以 用 来 破解 用 crypt(1) 加 密 的 文件 。 


17.7.5 其 他 方案 


另 一 个 发 生 器 是 基于 背包 问题 的 〈 参 见 19. 2 4#), CRYPTO-LEGGO 是 不 安全 
Ay). Joan Daemen 已 经 开发 出 Substream, Jam 和 StepRightUp EFE, ENKF, 
还 不 能 评价 它们 。 文 献 中 还 描述 了 许多 其 他 算法 ， 更 多 的 是 保密 的 ， 并 且 已 经 用 到 设备 中 。 


17.8 序列 密码 设计 的 系统 理论 方法 
在 实践 中 ， 序 列 密码 设计 很 像 分 组 密码 设计 。 它 涉及 更 多 的 数学 理论 ， 但 最 终 是 由 密码 
设计 者 提出 一 个 设计 然后 分 析 它 。 
根据 Rainer Rueppel 的 理论 ， 可 用 4 种 不 同 的 方法 来 构造 序列 密码 品 % 65 : 
。 系统 理论 方法 。 使 用 一 套 基本 的 设计 原理 和 准则 ， 保 证 每 一 个 设计 对 密码 分 析 者 来 
说 是 一 个 困难 且 未 知 的 问题 。 
。 信息 理论 方法 。 使 密码 分 析 者 不 能 得 到 明文 。 不 论 密 码 分 析 者 做 了 多 少 工作 ， 他 将 
永远 得 不 到 唯一 解 。 
。 复杂 性 理论 方法 。 使 密码 系统 基于 或 等 同 于 一 些 已 知 的 难题 ， 如 因子 分 解 或 解 离散 
对 数 。 
。 随机 性 方法 。 通 过 迫使 密码 分 析 者 检测 大 量 无 用 的 数据 来 产生 一 个 难于 控制 的 大 
难题 。 
各 种 方法 因 对 密码 分 析 员 的 能 力 和 运气 、 密 码 成 功 定 义 和 安 全 概念 的 不 同 而 有 差别 。 这 个 
领域 绝 大 多 数 研 究 都 是 理论 上 的 ， 但 在 那些 不 实用 的 研究 中 也 有 一 些 好 的 序列 密码 。 
系统 理论 方法 已 经 用 在 前 面 所 讲 的 所 有 序列 密码 中 ， 它 所 产生 的 大 多 数 序列 密码 都 可 以 
在 实际 中 使 用 。 密 码 设计 者 设计 的 密 钥 序列 发 生 器 都 有 可 测试 的 安全 特性 (周期 、 位 的 分 
布 、 线 性 复杂 性 等 )， 且 密码 不 是 基于 数学 理论 。 密 码 设计 者 也 研究 针对 这 些 发 生 器 的 各 种 
密码 分 析 技 术 ， 并 确保 发 生 器 可 以 防止 这 些 攻击 。 
许多 年 来 ， 这些 方法 已 经 导出 了 序列 密码 设计 标准 中 一 套 设 计 准 则 吕 生 9 25 24] 。 
Rueppel 在 文献 [1362] 中 详细 地 论述 了 这 些 准 则 。 
。 长 周期 没有 重复 。 
。 线性 复杂 性 准则 。 大 的 线性 复杂 性 、 线 性 复杂 性 曲线 、 局 部 线性 复杂 性 等 。 
。 统计 特性 ， 如 理想 的 & 元 分 布 。 
。 混乱 。 每 个 密 钥 序 列 位 必定 是 一 个 所 有 的 或 大 多 数 密 钥 位 的 复杂 变换 。 


298 + 第 三 部 分 密码 算法 


。 扩散 。 子 结构 中 的 元 余 度 必须 扩大 到 大 范围 的 统计 特性 中 。 

。 布尔 函数 的 非 线性 准则 ， 如 om 阶 相关 免疫 性 、 与 线性 函数 的 距离 ， 雪 崩 准 则 等 。 

这 些 列 出 的 设计 准则 并 不 仅仅 适用 于 系统 理论 方法 设计 的 序列 密码 ， 它 对 所 有 的 序列 密 
码 来 说 都 是 正确 的 。 它 甚至 对 所 有 的 分 组 密码 也 是 正确 的 。 系 统 理论 方法 的 优点 是 设计 出 的 
序列 密码 可 直接 满足 要 求 。 

这 些 密码 系统 的 主要 问题 是 还 无 法 证 明 它们 的 安全 性 ， 从 未 证 明 过 设计 准则 对 安全 性 来 
说 是 否 是 充分 和 必要 的 。 一 个 密 钥 序列 发 生 器 满足 所 有 的 设计 原理 ， 但 仍然 被 证 明 是 不 安全 
的 。 另 一 个 则 可 能 是 安全 的 。 这 里 有 一 些 魔 法 在 起 作用 。 

另 一 方面 ， 破 译 这 些 密 钥 序 列 发 生 器 中 的 每 一 个 ， 对 密码 分 析 者 来 说 都 是 困难 的 。 如 果 
许多 不 同 的 发 生 器 都 能 被 破译 ， 那么 密码 分 析 者 也 不 值得 花 时 间 去 攻击 每 个 发 生 器 ， 他 可 以 
找到 更 好 的 分 解 大 数 因子 或 计算 离散 对 数 的 方法 来 获得 名 声 和 荣誉 。 


17.9 序列 密码 设计 的 复杂 性 理论 方法 

Rueppel 也 描绘 了 序列 密码 的 复杂 性 理论 设计 方法 。 这 里 ， 密 码 设计 者 打算 用 复杂 性 理 
论证 明 他 的 发 生 器 是 安全 的 。 结 果 ， 基 于 类 似 于 公开 密 钥 密码 学 难题 的 发 生 器 往往 变 得 更 复 
杂 。 并 且 与 公开 密 钥 算法 一 样 ， 它 们 变 得 更 慢 而 且 笨重 。 


17.9.1 Shamir 伪 随 机 数 发 生 器 


Adi Shamir 使 用 RSA 算法 作为 伪 随 机 数 发 生 器 04 | Shamir 证 明 预 测 伪 随 机 数 发 生 器 
的 输出 等 于 破译 RSA， 输 出 中 潜在 的 偏差 见 C1401, 200]. 


17.9.2 Blum-Micali 发 生 器 


该 发 生 器 通过 计算 离散 对 数 的 难度 来 保证 它 的 安全 性 50 。 设 g BRM. Ap 是 奇 素 
Rl. Xo HEH, WA : 
ZiH = g mod p 
如 果 志 < (一 1)/2， 则 发 生 器 的 输出 是 1; 否则， 输出 是 0。 
如 果 p 足够 大 ， 则 计算 模 p 的 离散 对 数 是 不 可 行 的 ， 那 么 该 发 生 器 就 安全 了 。 其 他 理 
论 结果 可 在 文献 (1627, 986, 985, 1237, 896, 799] 中 找到 。 


17.9.3 RSA 


RSA AE ae) FAM CHR [200] 中 的 发 生 器 的 修改 。 初 始 参数 是 由 两 个 大 素数 这 和 4 
乘积 产生 的 N、 与 (p 一 1) (qd 一 1) 互 素 的 整数 e 和 一 个 小 于 N 的 随机 种 子 ze 。 
tyr = xi mod N 
BAL aE AY BE z; 的 最 低位 。 该 发 生 器 的 安全 性 基于 破译 RSA 的 难度 。 如 果 N 足够 
大 ， 则 发 生 器 是 安全 的 。 其 他 的 理论 可 在 文献 [1569、1570、1571、30、354] 中 找到 。 


17.9.4 Blum, Blum 和 Shub 


最 简单 有 效 的 复杂 性 理论 发 生 器 称 为 Blum、Blum 和 Shub 发 生 器 ， 是 以 它 的 发 明 者 命 
名 的 。 为 方便 起 见 ， 将 其 缩写 为 BBS， 尽 管 它 有 时 称 为 二 次 剩余 发 生 器 55 。 

BBS 发 生 器 的 理论 是 必须 做 模 n 二 次 剩余 (参见 11. 3 节 )。 这 里 讲述 了 它 是 如 何 工作 。 

首先 找到 两 个 大 素数 p 和 g， 它 们 满足 模 4 余 3。 这 两 个 数 的 乘积 得 到 的 n 是 Blum 整 
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数 。 选 择 另外 一 个 与 n 互 素 的 随机 整数 。 计 算 
Zo = x’ mod n 
这 个 就 是 发 生 器 的 种 子 。 
现在 可 以 开始 计算 位 序列 。 第 i 个 伪 随 机 位 是 x; 的 最 低位 ， 这 里 
xz; = x? mod n 

该 发 生 器 最 令 人 感 兴趣 的 特性 就 是 你 不 必 为 了 得 到 第 i 位 而 迭代 所 有 的 i 一 1 位 。 如 果 
BA p 和 g， 可 以 直接 计算 第 i 位 。 

b: 是 zx; 的 最 低位 ， 这 里 zr VD 

这 个 特性 意味 着 你 可 以 使 用 这 个 密码 学 意义 上 的 强 伪 随机 位 发 生 器 作为 随机 访问 文件 的 
序列 密码 系统 。 

该 发 生 器 的 安全 性 依赖 于 因子 分 解 寺 的 难度 。 你 可 以 公开 2， 任何 人 都 能 使 用 该 发 生 器 
产生 位 序列 。 然 而 ， 除 非 密码 分 析 者 能 够 因 式 分 解 2， 和 否则 他 永远 不 能 预知 发 生 器 的 输 
出 一 一 甚至 不 可 能 做 出 如 下 声明 :“ 下 一 位 有 51% 的 概率 是 1。” 

更 好 的 是 ，BBS 发 生 器 对 左 不 可 预测 、 对 右 不 可 预测 。 这 意味 着 如 果 给 出 一 个 由 该 发 生 器 
产生 的 序列 ， 则 密码 分 析 者 既 不 能 预测 序列 中 的 下 一 位 ， 也 不 能 预知 序列 中 的 前 一 位 。 一 些 无 
人 能 理解 的 复杂 的 位 发 生 器 往往 是 不 安全 的 ， 但 该 方法 的 数学 基础 是 n 的 因子 分 解 问题 。 

该 算法 很 慢 ， 但 可 加 速 。 结 果 ， 你 可 以 使 用 每 个 x; 更 多 的 最 低位 用 于 伪 随 机 位 。 根 据 
(1569, 1570, 1571, 35, 36], W n Æx: HEE, WUE r: 的 最 低 logan 位 。BBS 
发 生 器 相对 要 慢 一 些 ， 对 于 序列 密码 并 没有 用 处 。 然 而 ， 对 于 高 安全 性 的 应 用 程序 Oe 
产生 )， 该 发 生 器 是 最 好 的 选择 。 


17. 10 序列 密码 设计 的 其 他 方法 

在 序列 密码 的 信息 理论 方法 中 ,假定 密码 分 析 者 有 无 限 的 时 间 和 计算 能 力 。 对 这 样 的 敌 
手 来 说 ， 唯 一 安全 且 实 用 的 序列 密码 是 前 面 的 一 次 一 密 乱 码 本 (参见 1. 5 节 )。 因 为 实际 上 
位 并 不 在 乱码 本 中 ， 所 以 也 称 为 一 次 一 密 带 (onetime tape)。 两 个 磁带 ， 一 个 在 加 密 端 ， 
一 个 在 解密 端 ， 它 们 有 同样 的 随机 密 钥 序列 。 加 密 时 ， 只 需 将 磁带 上 的 位 与 明文 异 或 ; 解密 
时 ， 就 用 另 一 个 同样 碰 带 上 的 位 与 密 文 异 或 。 同 一 个 密 钥 序 列 不 能 使 用 两 次 。 因 为 密 钥 序 列 
是 真 随机 的 ， 所 以 没有 人 能 预测 密 钥 序列 。 如 果 你 在 完成 后 将 磁带 烧毁 ， 那 就 完全 保密 了 
(假定 没有 其 他 人 有 磁带 的 副本 )。 

Claus Schnorr 提出 了 另 一 个 信息 理论 序列 密码 设计 方法 ， 该 方法 假设 密码 分 析 者 仅 可 
以 访问 有 限 的 密 文 位 I。 该 结果 具有 较 高 的 理论 价值 ， 但 到 目前 为 止 还 没有 实用 价值 。 要 
了 解 更 多 细节 ， 请 参考 文献 (1361, 1643, 1193]. 

在 随机 性 的 序列 密码 中 ， 密 码 设计 者 总 是 保证 密码 分 析 者 有 一 个 不 可 解决 的 大 问题 。 目 
标 是 在 采用 小 密 钥 的 同时 ， 增 加 密码 分 析 者 必须 处 理 的 密 钥 位 数 。 这 可 以 通过 利用 一 个 大 的 
公开 随机 串 来 实现 。 密 钥 将 指定 该 随机 串 中 的 哪 一 部 分 来 加 密 和 解密 。 不 知道 密 钥 的 密码 分 
析 者 被 迫 用 穷 举 攻 击 来 搜索 随机 串 。 这 种 密码 的 安全 性 可 以 通过 密码 分 析 者 在 用 纯 猜 想 确定 
密 钥 的 机 会 之 前 必须 检查 的 平均 位 数 来 表示 。 


17. 10.1 Rip van Winkle 密码 


James Massey 和 Ingemar Ingemarsson 提出 了 Rip van Winkle #7" ， 如 此 命名 的 原 
因 是 在 试图 解密 前 接收 者 必须 接收 2" 位 密 文 。 该 算法 如 图 17-10 所 示 ， 实 现 起 来 简单 ， 被 
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证 明 是 安全 的 ， 但 完全 不 实用 。 只 是 简单 地 将 密 钥 序列 与 明文 异 或 ， 且 密 钥 序 列 可 延迟 
0 一 20 年 一 一 准确 的 延迟 是 密 钥 的 一 部 分 。 用 Massey 的 话说 : “如 果 一 个 人 愿意 等 数 百 万 年 
去 读 明文 的 话 ， 他 就 可 以 轻易 地 保证 敌 方 密码 分 析 员 需要 数 千 年 的 时 间 才 能 破译 密码 。” 这 
方面 思想 的 进一步 描述 可 在 L1577、755] 中 找到 。 








0 ~ 20 年 
《长 度 是 保密 的 且 依赖 于 密 钥 ) 
图 17-10 Rip van Winkle 密码 


17. 10. 2 Diffie 随机 序列 密码 


该 方案 首先 由 Whitfield Diffie HH. RHE 2" 长 的 随机 序列 。 密 钥 是 一 个 随机 
位 串 。 为 了 加 密 消息 ，Alice 将 第 & 个 随机 串 作为 一 次 一 密 乱 码 本 。 然 后 她 通过 2" 十 1 个 不 
同 的 信道 发 送 密 文 和 2" 个 随机 串 。 

Bob 知道 &， 因 此 他 很 容易 选择 哪个 一 次 一 密 乱 码 本 来 解密 消息 。Eve 则 别 无 选择 ， 只 
得 每 次 都 检查 随机 序列 直到 找到 正确 的 一 次 一 密 乱码 本 。 任 何 一 个 攻击 都 必须 检查 O2”) 
个 期 望 的 位 数 。Rueppel 指出 如 果 你 发 送 n 而 不 是 2" 个 随机 串 ， 且 密 钥 用 来 指定 这 些 随机 串 
的 线性 组 合 ， 那 么 它 同 样 是 安全 的 。 


17. 10.3 Maurer 随机 序列 密码 


Ueli Maurer 描述 了 用 儿 个 大 的 公开 随机 位 序列 与 明文 相 异 或 的 方案 "”…"] 。 密 钥 
置 于 每 个 序列 内 的 开始 位 置 。 该 算法 几乎 可 以 证 明 是 安全 的 ,破译 者 必须 配置 很 大 的 存储 
器 ， 而 不 管 他 有 多 大 的 计算 能 力 。Maurer 宣称 该 方案 可 实际 用 在 大 约 100 种 不 同 的 序列 中 ， 
每 个 序列 为 10” 随 机 位 。 数 字 化 月 球 表面 面积 可 能 是 得 到 这 么 多 位 的 一 种 方法 。 


17. 11 级 联 多 个 序列 密码 

如 果 性 能 没有 问题 ， 那 么 就 没有 理由 不 选择 多 个 序列 密码 并 级 联 它们 。 只 需 将 明文 与 每 个 发 
生 才 的 输出 相 异 或 就 可 得 到 密 文 。Ueli Maurer 的 结果 (参见 15.7 节 ) 表明 ， 如 果 各 个 发 生 器 有 
独立 的 密 钥 ， 那 么 这 种 级 联 的 安全 性 至 少 和 级 联 中 最 强 算法 的 安全 性 一 样 ， 可 能 还 更 安全 。 

序列 密码 可 以 采用 与 分 组 密码 相同 的 方法 来 组 合 (参见 第 15 章 ) 。 序 列 密码 可 以 同 其 他 
序列 密码 级 联 (参见 15. 7 节 )， 也 可 以 同 分 组 密码 级 联 。 

一 个 聪明 的 诀窍 是 用 一 种 算法 〈 不 论 分 组 或 序列 算法 ) 经 常 地 在 快速 序列 算法 (其 至 可 
能 是 分 组 算法 的 OFB 模式 ) 中 更 换 密 钥 。 快 速算 法 可 以 很 弱 ， 因 为 密码 分 析 者 绝 不 可 能 得 
到 用 相同 密 钥 加 密 的 许多 明文 。 

在 快速 算法 内 部 状态 的 大 小 (这 可 能 影响 安全 ) 和 更 换 密 钥 的 频率 之 间 有 一 个 折 中 。 更 
换 密 钥 必 须 相 对 快 一 些 ， 有 较 长 密 钥 预 处 理 时 间 的 算法 不 适合 这 种 应 用 。 并 且 更 换 密 钥 应 该 
独立 于 快速 算法 的 内 部 状态 。 


17.12 选择 序列 密码 
对 序列 密码 的 研究 表明 ， 新 的 攻击 方法 具有 惊人 的 正则 性 。 以 前 的 序列 密码 都 是 基于 数学 理 
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论 。 这 种 理论 可 以 用 来 证 明 密 码 具 有 好 的 特性 ， 但 也 能 用 来 找到 对 密码 的 破译 方法 。 基 于 这 种 原 
因 ， 我 担心 任何 基于 LFSR 的 序列 密码 。 

我 更 喜欢 治 用 分 组 密码 的 方法 来 设计 序列 密码 : 非 线性 变换 、 大 的 S 盒 等 。RC4 是 我 
最 喜欢 的 ，SEAL 其 次 。 我 很 关注 对 我 自己 设计 的 发 生 器 以 及 组 合 LFSR 和 FCSR 发 生 器 的 
密码 分 析 结 果 ， 这 对 我 来 说 似乎 是 在 实际 设计 中 对 序列 密码 一 个 非常 成 功 的 研究 领域 。 或 
者 ， 你 可 以 在 OFB 或 CFB 模式 中 使 用 分 组 密码 来 得 到 序列 密码 。 

表 17-3 给 出 了 一 些 算法 的 速度 测量 。 它 仅 用 来 做 比较 。 


表 17-3 在 33MHz 的 486SX 上 一 些 序列 密码 的 加 密 速度 





加 密 速度 ( 千 字 节 / 秒 ) 
A5 5 RC4 164 
PIKE 62 SEAL 381 





17. 13 ”从 单个 伪 随 机 序列 发 生 器 产生 多 个 序列 

如 果 你 在 一 个 应 用 中 需要 加 密 多 个 信道 (如 多 路 复 用 器 )， 简 单 的 解决 方法 就 是 对 每 个 
信道 使 用 不 同 的 伪 随 机 序列 发 生 器 。 这 就 有 两 个 问题 : 需要 更 多 的 硬件 ， 且 所 有 的 发 生 器 都 
必须 同步 。 如 只 使 用 一 个 发 生 器 则 问题 会 更 加 简单 。 

一 个 解决 办 法 就 是 用 时 钟 来 控制 多 个 发 生 需 的 时 间 。 如 果 你 想 要 3 个 独立 的 序列 ， 那 么 
钟 控 发 生 器 3 次 ， 并 发 送 1 位 到 每 个 序列 中 。 这 种 技术 是 可 行 的， 但 可 能 在 发 生 右 达到 你 希 
望 的 速度 时 发 生 问 题 。 例 如 ， 如 果 你 只 能 以 3 倍 于 数据 序列 的 速度 钟 控 发 生 器 ， 那 么 你 只 能 
产生 3 个 序列 。 另 一 个 方法 就 是 对 每 个 通道 使 用 同一 个 序列 一 一 可 能 要 使 用 不 同 的 延迟 。 这 
很 不 安全 。 

一 个 由 NSA 拥有 专利 的 真正 好 的 思想 一 见 图 17-11。 将 你 喜欢 的 发 生 器 的 输出 转 储 到 
一 个 闷 位 的 简单 移 位 寄存 器 中 。 在 每 一 个 时 钟 脉 冲 ， 将 寄存 器 向 右 移动 一 位 。 然 后 ， 对 于 
每 个 输出 序列 ， 将 寄存 器 与 作为 每 个 序列 唯一 身份 的 m 位 控制 向 量 进行 与 运算 ,然后 将 所 
有 位 异 或 后 作为 序列 的 输出 。 如 果 要 将 多 个 输出 序列 并 行 处 理 ， 那 么 需要 一 个 独立 控制 向 量 
和 一 个 对 每 个 输出 序列 的 异 或 /与 逻辑 阵列 。 


ET ree il 


| m 位 输出 











控制 向 量 1 控制 向 量 2 控制 向 量 n 








图 17-11 多 位 发 生 器 
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有 些 事情 需要 注意 。 如 果 某 个 序列 是 其 他 序列 的 线性 组 合 ， 那 么 系统 就 可 能 被 破译 。 但 
如 果 你 足够 聪明 ， 就 可 以 找到 一 个 解决 该 问题 简单 且 安 全 的 办 法 。 


17.14 真 随机 序列 发 生 器 

有 时 密码 学 意义 上 安全 的 伪 随 机 数 并 不 足够 好 。 在 密码 学 多 个 应 用 中 ， 需 要 的 是 真正 的 
随机 数 。 密 钥 的 产生 就 是 一 个 最 好 的 例子 。 伪 随机 序列 发 生 器 产生 的 随机 密 钥 是 不 错 的 ， 但 
如 果 敌 方 得 到 了 一 份 此 发 生 器 和 主 密 钥 的 副本 ， 他 们 就 能 产生 相同 的 密 钥 来 破解 你 的 密码 系 
统 。 一 个 真正 的 随机 序列 发 生 器 产生 的 序列 是 不 可 再 现 的 。 任 何人 ， 即 便 是 你 自己 都 不 能 再 
次 产生 它们 。 

是 否 能 产生 真正 的 随机 数 ， 长 期 以 来 这 个 问题 都 处 在 激烈 的 争论 之 中 。 我 并 不 想 对 这 个 
争论 谈 什么 。 这 里 的 目的 是 产生 具有 与 随机 位 相同 统计 特性 并 且 不 可 再 现 的 位 。 

对 于 任何 真正 的 随机 序列 发 生 器 来 说 ， 最 重要 的 是 它 能 经 得 起 测试 。 关 于 这 个 ， 许 多 文 
献 都 有 记载 。 随 机 性 测试 可 见 [863、99]。Maurer 证 明了 所 有 这 些 测试 都 建立 在 压缩 序列 
的 基础 上 5 75。 如 果 你 能 压缩 一 个 随机 序列 ， 那 么 它 不 具有 真正 的 随机 性 。 

最 重要 的 是 产生 一 个 让 你 的 对 手 不 可 能 想到 的 序列 。 这 听 上 去 很 容易 ， 但 实现 起 来 比 你 
想 的 要 困难 得 多 。 这 里 我 并 不 给 出 某 些 产生 随机 序列 方法 的 证 明 ， 这 些 方法 提供 了 不 能 轻易 
再 现 的 序列 。 要 想 知 道 更 多 的 细节 ， 参 考 文献 [1375、1376、511]。 


17. 14. 1 RAND 表 


回 到 1955 年 ， 那 时 计算 机 仍 是 一 个 新 东西 ，Rand 公司 出 版 了 一 本 包括 100 万 个 随机 数 
的 书 5 。 书 中 描述 了 以 下 方法 : 


本 书 中 的 随机 数 通过 随机 化 电子 轮 盘 的 转 轮 产生 的 基本 表 获 得 。 简 要 地 说 ， 平 
均 每 秒 产生 大 约 100 000 个 脉冲 的 随机 频率 脉冲 源 ， 用 一 个 固定 频率 脉冲 大 约 每 秒 
选 通 一 次 。 脉 冲 标准 电路 使 脉冲 通过 5 位 二 进 制 计 数 器 ， 在 原理 上 机 器 是 32 位 轮 
盘 赌 转 ， 平均 每 次 试验 旋转 3000 圈 且 每 秒 产 生 一 个 数 。 使 用 二 进 制 至 十 进 制 转换 
器 转换 32 个 数字 中 的 20 个 ( 剩 下 的 12 个 丢弃 ) ， 并 仅 剩 下 最 后 2 位 数字 ， 该 数 馈 
入 IBM 穿孔 器 中 最 终 产 生 随 机 数 的 穿孔 卡 表 。 

该 书 继续 讨论 了 数据 的 各 种 随机 性 测试 结果 ， 它 还 指出 怎样 使 用 该 书 来 寻找 随机 数 : 

数字 表 的 行 编号 从 00 000~19 999。 使 用 该 表 时 ， 首 先 寻 找 一 个 随机 起 始 位 
置 。 把 书 翻 到 还 没有 选择 数字 表 的 一 页 ， 并 且 随 机 地 选 一 个 5 位 数 ， 用 这 个 数 的 第 
一 位 数字 模 2 来 决定 起 始 行 ， 用 右边 两 位 数 模 50 来 确定 起 始 行 中 的 起 始 列 。 为 了 
避免 重复 打开 同一 页 ， 朝 页 的 中 心 选择 随机 数 ， 每 一 个 用 来 确定 起 始 位 置 的 5 位 数 
都 应 做 上 标记 ， 并 且 不 再 次 使 用 。 


这 本 书 的 主要 内 容 是 “随机 数字 表 ”， 它 以 5 位 数字 组 的 形式 列 出 (“10097 32533 76520 
13586…”) 一 行 50 个 数字 ,一 页 50 行 。 除 了 第 283 页 有 一 个 读 作 “69696” 的 特别 生动 部 
分 之 外 ， 其 余 400 页 的 表 读 起 来 都 使 人 厌烦 。 这 本 书 还 包括 了 100 000 个 正 态 偏差 。 

关于 RAND 的 书 ， 有 趣 的 事情 不 是 这 里 有 100 万 个 随机 数 ， 而 是 它们 在 计算 机 革新 前 
产生 。 许 多 密码 算法 使 用 了 一 个 称 为 “ 魔 数 ”的 任意 常数 ， 从 RAND 表 中 选择 的 魔 数 能 确 
保 它 们 不 会 用 于 某 种 极 坏 的 动机 。 例 如 ，Khafre 这 样 做 了 。 
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17. 14. 2 ”使 用 随机 噪声 

采集 大 量 随机 数 的 最 好 方法 是 选取 真实 世界 的 自然 随机 性 ， 这 种 方法 经 常 需要 一 个 特定 
的 硬件 ， 但 仍 需要 一 定 的 计算 机 技巧 。 

寻找 一 个 有 规律 但 又 随机 发 生 的 事件 ， 超过 某 一 门限 值 的 大 气 噪声 、 刚 学 走路 的 婴孩 
等 。 测 量 并 记录 第 一 个 事件 和 第 二 个 事件 的 时 间 间 隔 ， 同 样 测量 并 记录 第 二 个 事件 和 第 三 个 
事件 的 时 间 间 隔 。 如 果 第 一 个 时 间 间 隔 大 于 第 二 个 时 间 间 隔 ， 则 输出 1 作为 位 ， 如 果 第 二 个 
时 间 间 隔 大 于 第 一 个 时 间 间 隔 ， 则 输出 0 作为 事件 。 对 下 一 个 事件 重复 上 述 步骤 。 

在 当地 报纸 上 关于 纽约 股票 交易 所 收盘 价 的 一 个 草图 上 ， 比 较 它 今天 和 昨天 的 收盘 价 ， 
车 升 了 ， 输 出 0， 否则， 输出 1。 

在 计算 机 上 挂 一 个 Geiger 计数 器 ， 在 固定 时 间 间 隔 内 对 发 射 次 数 计数 ， 保 留 最 低 有 效 
位 。 或 者 测量 两 次 滴答 声 之 间 的 间隔 时 间 。( 既 然 辐射 源 是 有 衰减 性 的 ， 两 次 滴答 声 之 间 的 
间隔 时 间 会 越 来 越 长 ， 你 需要 选择 一 种 长 达 半 个 世纪 的 辐射 源 以 忽略 此 影响 一 一 如 钱 。 如 果 
你 担心 你 的 健康 ， 你 可 以 使 用 适当 的 统计 特性 )。 

G. B. Agnew 提出 了 一 个 适用 于 集成 到 VLSI 设备 的 真 随机 位 发 生 器 """。 它 是 一 个 金属 
绝缘 体 半导体 电容 器 (MISC) 。 将 两 个 MISC 很 近 地 放 在 在 一 起 ， 随 机 位 是 它们 两 个 之 间 的 
电荷 量 之 差 的 函数 。 另 一 个 随机 数 发 生 器 产生 一 个 基于 自 激 振 荡 器 中 频率 不 稳定 性 随机 位 序 
BD 。AT&T 公司 商业 芯片 产生 的 随机 数 也 是 基于 相同 的 现象 '"] 。M. Gude 制造 了 一 个 
根据 物理 现象 〈 例 如， 放射 性 误 变 ) 采集 随机 位 的 随机 数 发 生 器 [sseeol Manfield Richter 
研制 了 一 个 基于 半导体 二 极 管 热 噪声 的 随机 数 发 生 器 Ps 。 

假定 从 一 个 捕获 的 水 银 原子 发 出 的 连续 2e4 光 之 间 的 间隔 时 间 是 随机 的 ， 那 么 可 以 用 它 
来 产生 随机 数 。 更 好 的 方法 是 找 一 家 生产 随机 数 产生 芯片 的 半导体 公司 ， 它 们 就 产生 那个 
东西 。 

也 有 使 用 计算 机 磁盘 驱动 器 的 随机 数 发 生 器 rs 。 它 测量 读 取 磁 盘 扇 区 的 时 间 ， 并 利用 
时 间 差 作为 随机 数 源 。 为 了 消除 从 量化 中 产生 的 结构 性 ， 它 过 滤 定 时 数据 ， 然 后 将 快速 侍 里 
叶 变 换 应 用 到 数字 向 量 中 ， 这 就 去 掉 了 偏差 和 相关 性 。 最 终 ， 它 用 (0，x) 之 间 单 元 间隔 
规范 化 的 频率 中 的 频谱 来 作为 随机 位 。 磁 盘 转 动 中 的 大 部 分 偏差 都 是 因为 空气 震荡 引起 的 ， 
所 以 系统 具有 很 大 的 随机 性 。 如 果 在 输出 中 保持 太 多 的 位 ， 那 么 可 以 用 快速 傅 里 叶 变换 作为 
随机 数 发 生 器 ， 且 可 预见 风险 。 最 好 是 反复 读 同一 个 磁盘 扇 区 ， 这 样 就 不 必 过 虑 从 磁盘 而 来 
的 结构 性 了 。 该 系统 运行 一 次 每 分 钟 能 收集 大 约 100 位 Ce9 。 





17. 14. 3 ”使 用 计算 机 时 钟 


如 果 你 想 用 一 个 随机 位 〈 或 甚至 多 个 )， 那 么 你 从 任何 时 钟 寄存 器 中 取 最 低 有 效 位 即 可 。 
因为 存在 各 种 潜在 的 同步 ， 所 以 在 UNIX 系统 中 这 也 许 是 极 不 随机 的 ， 但 它 在 个 人 计算 机 
上 是 可 行 的 。 

注意 这 种 方法 产生 太 多 的 二 进 制 数字 。 连 续 运行 相同 子 程序 多 次 很 容易 使 这 种 方式 产生 
的 位 牌 斜 。 例 如 ， 如 果 每 一 个 产生 位 的 子 程序 都 用 偶数 个 时 钟 驱 动 ， 那 么 发 生 器 将 输出 一 个 
相同 位 的 无 穷 序列 ， 如 果 每 一 个 产生 位 的 子 程序 都 用 奇数 个 时 钟 驱动 ， 那 么 发 生 器 将 输出 一 
个 无 穷 的 交错 位 序列 。 即 使 结果 不 是 这 么 明显 ， 所 产生 的 位 序列 也 远 不 是 随机 的 。 

随机 数 发 生 器 工作 如 下 : 


RMK AMAER 工作 时 先 设置 一 个 报警 ， 然 后 在 CPU 中 迅速 增加 
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计数 器 寄存 器 直到 中 断 发 生 。 然 后 将 寄存 器 的 内 容 同 输出 缓冲 区 字 节 的 内 容 〈 将 寄 
存 器 数据 分 成 8 位 ) 异 或 。 在 输出 缓冲 区 的 每 个 字 节 都 填 满 后 ， 将 缓冲 区 的 每 一 位 
循环 右 移 两 位 。 这 样 做 的 效果 是 将 最 活跃 的 〈 和 最 随机 的 ) 最 低位 移 到 最 高 位 上 。 
整个 过 程 重 复 3 次。 最 后 ， 缓 冲 区 的 每 一 个 字符 都 在 中 断后 被 两 个 计数 寄存 器 中 的 
最 随机 位 用 过 。 那 就 是 发 生 了 4n 次 中 断 ， 这 里 n 指 所 希望 的 随机 字 节 数 。 


这 种 方法 对 系统 中 断 和 时 钟 间隔 的 随机 性 非常 敏感 。 在 UNIX 机 器 中 测试 时 ， 其 输出 
看 起 来 相当 好 。 


17. 14.4 测量 键盘 反应 时 间 


人 们 的 打字 方式 有 随机 和 非 随机 的 。 他 们 的 非 随机 方式 可 用 作 身 份 识别 ， 随 机 可 用 来 产 
生 随 机 位 。 测 量 连续 按键 的 时 间 ， 然 后 取 这 些 测 量 的 最 低 有 效 位 。 这 个 技术 在 UNIX 终端 
可 能 行 不 通 ， 因 为 它们 在 获得 你 的 程序 之 前 要 通过 滤波 占 和 其 他 机 制 ， 但 在 个 人 计算 机 上 行 
得 通 。 

理想 的 情况 是 ， 每 按键 一 次 ， 仅 取 一 个 随机 位 ， 采 集 更 多 的 位 可 能 会 使 结果 有 侦 差 ， 因 
为 此 结果 取决 于 打字 员 能 否 胜 任 连续 敲 击 键盘 一 段 时 间 。 然 而 ， 这 个 技术 是 有 限 的 。 在 产生 
密 钥 时 ， 某 人 输入 100 个 左右 的 单词 是 很 容易 的 事情 ， 没 有 理由 为 一 次 一 密 乱 码 本 产生 密 钥 
系列 而 要 求 打 字 员 进行 输入 10 万 个 单词 的 试验 。 


17. 14.5 偏差 和 相关 性 


所 有 这 些 系 统 的 一 个 主要 问题 是 产生 序列 的 非 随 机 性 。 基 本 的 物理 过 程 可 能 是 随机 的 ， 
但 在 计算 机 的 数字 部 分 和 物理 过 程 之 间 存 在 着 许多 类 型 的 测量 仪器 ， 这 些 仪器 很 容易 引起 一 
些 问 题 。 

排除 偏差 〈bias) 的 一 种 方式 是 把 几 个 位 异 或 在 一 起 。 如 果 一 个 随机 位 对 于 因子 e 偏差 
趋 于 0， 那么 0 出 现 的 概率 可 表述 为 

P(0) = 0.5+e 
异 或 这 些 位 中 的 两 个 : 
P(O) = (0.5+e)? +(0.5—e)? = 0.542? 
采用 相同 的 方法 ， 异 或 4 个 这 样 的 位 : 
PCO) = 0.5 + 8e 

异 或 m 位 将 指数 式 收敛 于 0 或 1 的 概率 。 如 果 你 知道 应 用 程序 所 能 接受 的 最 大 偏差 ， 
那么 就 能 计算 出 需要 异 或 多 少 位 来 得 到 允许 偏差 的 随机 位 。 

一 个 更 好 的 方法 就 是 看 一 对 中 的 两 位 。 如 果 两 位 一 样 ， 则 放弃 它们 看 下 一 对 ; 如 果 两 位 
不 一 样 ， 则 取 第 一 位 作为 发 生 器 的 输出 。 这 样 就 完全 避免 了 偏差 。 其 他 减少 偏差 的 技术 还 有 
变换 上 映射、 压缩 和 快速 傅 里 叶 变 换 "。 

两 种 方式 的 潜在 问题 就 是 ， 如 果 在 相 邻 位 之 间 存 在 相关 性 (correlation)， 那 么 这 些 方 
法 将 增加 偏差 。 修 正 的 唯一 方法 就 是 使 用 多 个 随机 源 。 取 4 个 不 同 的 随机 源 并 有 异 或 它们 ， 或 
者 取 两 个 随机 源 并 成 对 地 处 理 它们 。 

例如 ， 取 一 个 放射 性 源 ， 把 Geiger 计数 器 挂 到 计算 机 上 。 取 一 对 噪声 二 极 管 ， 每 次 记 
录 噪 声 超过 某 峰 值 的 事件 。 测 量 大 气 噪 声 。 从 每 个 事件 中 得 到 一 个 随机 位 ， 将 它们 蜡 或 产生 
一 个 随机 位 ， 这 种 可 能 性 是 无 穷 的 。 

随机 数 发 生 器 有 偏差 这 个 事实 并 不 意味 它 没 有 用 处 ， 仅 仅 意 味 着 它 不 太 安全 。 例 如 ， 考 
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IB Alice 产生 三 重 DES 的 168 位 密 钥 的 问题 ， 她 拥有 的 一 切 就 是 具有 0 偏差 的 一 个 随机 位 发 
生 器 : 它 产生 55% 的 0 和 45% 的 1。 这 意味 着 每 个 密 钥 位 的 粹 仅 为 0. 992 77 位 。 如 果 发 生 
器 是 完备 的 ,那么 每 个 密 钥 位 的 精 应 为 1 位 。 企 图 破译 这 个 密 钥 的 Mallory 能 优化 穷 举 搜 
R. 首先 从 最 可 能 的 密 钥 (0000 开始 ， 朝 最 不 可 能 的 密 钥 (111…1) 依次 搜索 。 因 为 有 
偏差 ，Mallory 能 在 2” 次 尝试 后 找到 密 钥 。 如 果 没 有 偏差 ，Mallory 则 可 能 要 尝试 2 次 。 
结果 密 钥 有 更 少 的 安全 性 ， 但 不 仅 只 有 一 点 。 





17. 14.6 ”提取 随机 性 


在 通常 情况 下 ， 产 生 随机 数 的 最 好 办 法 就 是 找 出 许多 似乎 是 随机 的 事件 ， 然 后 从 中 提取 
随机 性 。 这 种 随机 性 能 存储 在 一 个 应 用 程序 需要 的 库 或 存储 器 中 。 单 向 散 列 函数 即 可 用 于 
此 ， 它 们 速度 很 快 ， 因 此 可 以 用 它们 寻找 一 位 而 不 用 担心 性 能 或 实际 随机 性 。 将 能 找到 的 任 
何 东 西 进行 散 列 运算 ， 这 至 少 有 些 随机 性 。 可 尝试 : 

。 每 个 按键 的 一 个 副本 。 

。 鼠标 命令 。 

。 扇 区 数 、 一 天 的 某 个 时 间 和 寻找 每 个 磁盘 操作 的 延迟 。 

。 实际 鼠标 位 置 。 

。 显示 器 扫描 线 数 。 

。 实际 显示 图 像 的 内 容 。 

。 FAT 表 、 核 心 表 等 的 内 容 。 

© 访问 /修改 次 数 /设备 /tty。 

。 CPU 负载 。 

。 网 络 数据 包 到 达 次 数 。 

。 麦克 风 的 输入 。 

。 没有 连接 麦克 风 的 设备 /音频 。 

如 果 系 统 对 CPU 和 日 历 钟 使 用 了 独立 的 晶体 振 落 器， 那么 可 在 紧密 的 循环 中 读 取 时 间 。 
EAE 〈 不 是 全 部 ) 系统 中 ,这样 可 反映 两 个 振荡 器 之 间 随 机 相位 的 抖动 。 

因为 在 这 些 事件 中 ， 很 多 随机 性 在 它们 的 时 限 内 ， 所 以 最 好 使 用 精确 的 时 钟 。 使 用 In- 
tel 8254 时 钟 芯 片 的 〈 或 等 价 的 ) 标准 PC 的 驱动 频率 为 1. 193 181 8MHz， 因 此 直接 读 计数 
器 寄存 器 将 导致 一 个 838 纳 秒 的 结果 。 为 了 避免 结果 的 偏差 ， 就 要 避免 取 时 钟 中 断 内 的 
事例 。 

下 面 就 是 用 MD5 (参见 18. 5 节 ) 作为 散 列 函数 的 C 程序 : 

char Randpool [16]; 


/* Call early and call often on a wide variety of random or semi- 
* random system events to churn the randomness pool. 
* The exact format and length of randevent doesn’t matter as long as 
* its contents are at least somewhat unpredictable. 
* 
/ 


void churnrand(char *randevent,unsigned int randlen) 


MD5_CTX md5; 

MD5Init (&md5) ; 

MD5Update (&md5,Randpool, sizeof (Randpool) ) ; 
MD5Update (&md5, randevent, randlen) ; 
MD5Final (Randpool, &md5) ; 
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在 调用 了 chumrand() 后 可 以 建立 Randpool 中 的 随机 性 ， 现 在 可 以 从 中 产生 随机 位 。 
再 次 使 用 MD5， 这 次 它 是 作为 计数 器 模式 的 伪 随 机 字 节 序列 发 生 器 。 


long Randcnt; 
void genrand(char *buf,unsigned int buflen) 


MD5_CTX md5; 


char tmp[16]; 
unsigned int n; 


while (buflen != 0) { 
/* Hash the pool with a counter */ 
MD5Init (&md5) ; 
MD5Update (&md5, Randpool, sizeof (Randpool) ) ; 
MDS5Update (&md5, (unsigned char *) &Randcnt, sizeof (Randcnt) ) ; 
MD5Final (tmp, &md5) ; 
Randcent++; /* Increment counter */ 


/* Copy 16 bytes or requested amount, whichever is less, 
* to the user's buffer */ 

n = (buflen < 16) ? buflen : 16; 

memcpy (buf, tmp,n) ; 

buf += n; 

buflen -= n; 


} 


散 列 函数 至 关 重 要 的 原因 有 几 人 个。 首先， 它 提供 了 一 个 简单 的 方法 产生 任意 数量 的 伪 随 
机 数据 而 不 必 每 次 都 调用 churnrand() 。 这 样 一 来 ， 系 统 从 完美 性 退化 到 实用 的 随机 性 ， 从 
而 达到 了 要 求 。 在 这 种 情况 下 ， 使 用 genrand() 的 结果 来 确定 以 前 或 以 后 的 结果 仅 是 理论 
上 可 能 的 。 但 这 需要 逆 的 MD5， 而 这 在 计算 上 是 不 可 行 的 。 

这 是 很 重要 的 ， 因 为 程序 不 知道 调用 者 怎样 处 理 返 回 的 随机 数据 。 一 个 调用 可 能 为 某 个 
以 明文 形式 发 送 的 协议 产生 随机 数 ， 这 也 许 与 攻击 者 的 直接 询问 相对 应 。 接 下 来 的 调用 可 能 
给 破译 者 正 打 算 渗 透 的 非 相 关 的 会 议 产生 一 个 秘密 密 钥 。 显 然 ， 破 译 者 不 能 及 时 推出 秘密 密 
钥 是 很 重要 的 。 

剩 下 一 个 问题 。 在 第 一 次 调用 genrand() 前 ，Randpool[ ] 数组 必须 具有 足够 的 随机 
性 。 如 果 系 统 已 经 通过 当前 用 户 硕 击 键盘 运行 了 一 会 儿 ， 就 没有 问题 。 但 是 ， 一 个 看 不 到 任 
何 键盘 和 鼠标 输入 的 自动 启动 的 独立 系统 怎么 办 ? 

这 是 一 个 棘手 的 问题 。 部 分 解决 办 法 就 是 每 次 启动 前 都 需要 操作 员 项 击 键 盘 一 会 儿 ， 并 
在 系统 关闭 前 在 磁盘 上 创建 一 个 种 子 文件 来 实现 启动 Randseed[] 的 随机 性 。 但 不 要 直接 保 
FF Randseed[L ] 数组 。 一 个 偷 到 这 个 文件 的 破译 者 可 以 确定 在 最 后 一 次 调用 churnrand() 之 
后 及 创建 这 个 文件 之 前 的 来 自 genrand() 的 所 有 的 结果 。 

这 个 问题 的 修正 就 是 在 保存 之 前 对 Randseed[] 数组 进行 散 列 运算 ， 这 也 许 只 调用 
genrand() 。 当 系统 启动 时 ， 读 出 这 个 种 子 文件 ， 将 它 传 到 churnrand()， 然后 迅速 地 删除 
它 。 不 幸 的 是 ， 这 并 不 能 消除 某 些 人 在 启动 间 偷 取 种 子 文件 并 用 它 来 猜测 genrand() 函数 
的 下 一 个 值 。 我 看 除了 在 启动 后 和 人 允许 调用 genrand() 产生 结果 之 前 ， 等 待 足够 多 的 外 部 
随机 事件 发 生 外 ， 没 有 其 他 解决 办 法 了 。 
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É [ny] FBC] BA BB 
18.1 #3 
MARARA HOD 作用 于 任意 长 度 的 消息 M, “C3 TB KE h: 
h = H(M) 
其 中 的 长 度 为 加 。 


输入 为 任意 长 度 且 输出 为 固定 长 度 的 函数 有 很 多 种 ， 但 单 向 散 列 函 数 还 具有 使 其 单 向 有 
如 下 特性 : 

。 给 定 M， 很 容易 计算 h. 

。 Beh, WY HM) =h 计算 M 很 难 。 

。 给 定 M， 要 找到 另 一 消息 M FWE HMHM) 很 难 。 

如 果 Mallory 能 做 到 这 几 点 ， 那么 它 将 破坏 所 有 利用 单 向 散 列 阻 数 各 种 协议 的 安全 性 。 
单 向 散 列 函数 的 重要 之 处 就 是 赋予 M 唯一 的 “指纹 ”。 如 果 Alice 用 数字 签名 算法 HM) 来 
对 M 进行 签名 ,而 Bob fE EWE H(M)=H(M') 的 另 一 信息 M, 那么 Bob 就 可 声称 
Alie 对 M' 签 名 了 。 

在 某 些 应 用 中 ,， 仅 有 单 向 性 是 不 够 的 ， 还 需要 称 为 抗 矿 撞 (collision-resistance) 的 
条 件 。 

要 找 出 两 个 随机 消息 M 和 M', E HMHM) 成 立 很 难 。 

是 否 还 记得 7.4 节 的 生日 攻击 ? 并 不 是 找 出 另 一 消息 MORE HMHM) 而 是 找 
出 两 个 消息 M 和 M' 来 满足 HCM) 二 HCM')。 

下 面 的 协议 ， 最 先 由 Gideon Yuval 描述 "5 ， 如 果 前 面 的 条 件 不 成 立 ，Alice 能 够 利用 
生日 攻击 欺骗 Bob. 

(1) Alice 准备 一 份 合同 的 两 种 版 本 ， 一 种 对 Bob 有 利 ， 而 另 一 种 将 使 他 破产 。 

(2) Alice 对 这 两 种 版 本 的 每 一 份 都 做 一 些 细微 的 改变 ， 并 分 别 计算 其 散 列 值 〈 这 些 可 
能 的 改变 是 : 用 空格 - 退 格 -空格 代替 空格 、 在 回 车 前 放 一 两 个 空格 等 。 通 过 在 32 行 中 分 别 
做 或 不 做 改变 ，Alice 能 容易 地 产生 2 种 不 同 的 文件 ) 。 

(3) Alice 比较 这 两 种 不 同 版 本 文件 的 散 列 值 集合 ， 找 出 相 匹 配 的 一 组 (如 果 散 列 函 数 
仅 输出 64 位 值 ， 那 么 通常 她 从 每 个 文件 的 2* 种 形式 中 就 能 找到 匹配 的 一 对 )。 她 重新 构造 
这 两 份 散 列 值 相同 的 文件 。 

(4) Alice 使 用 Bob 只 能 对 该 散 列 值 签名 的 协议 ， 要 求 他 对 有 利于 他 的 那 份 合同 版 本 
签名 。 
(5) 在 以 后 的 某 个 时 候 ，Alice 用 Bob 未 签名 的 合同 代替 他 签 过 名 的 合同 。 现 在 她 能 使 
公证 人 员 确 信 Bob 签署 过 另 一 份 合 同 。 

这 是 一 个 严重 的 问题 〈 在 你 签署 过 的 文件 中 ， 道 德 准则 总 是 被 美化 了 ) 。 

其 他 相似 的 攻击 也 能 起 到 一 个 成 功 的 生日 攻击 所 起 的 作用 。 例 如 ， 敌 方 可 以 向 某 个 自动 
控制 系统 〈 可 能 是 在 一 个 卫星 上 ) 发送 带 有 随机 签名 序列 的 随机 消息 串 。 最 后 ， 其 中 某 一 随 
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机 消息 将 是 一 个 具体 有 效 的 签名 。 而 敌 方 并 不 清楚 哪 条 指令 将 起 作用 ,但 如 果 他 们 唯一 的 目 
的 是 破坏 卫星 系统 的 话 ， 就 可 以 这 样 做 。 


18. 1. 1 单 向 散 列 函数 的 长 度 


64 位 的 单 向 散 列 函数 对 付 生 日 攻击 显然 是 太 小 了 。 大 多 数 的 单 向 散 列 函数 产生 128 位 
的 散 列 值 。 这 迫使 试图 进行 生日 攻击 的 人 必须 对 2”* 个 随机 文件 进行 散 列 运 算 才 能 找到 散 列 
值 相 同 的 两 个 文件 ， 不 足以 维持 散 列 函数 的 安全 性 。NIST 在 其 安全 散 列 标准 (SHS 中 用 
的 是 160 位 的 散 列 值 。 这 使 生日 攻击 更 难 进行 ， 需 要 2” 次 随机 散 列 运算 。 

若 要 产生 的 值 比 散 列 函 数 产生 的 值 更 长 ,建议 用 以 下 方法 : 

(1) 用 本 书 中 列 出 的 一 种 单 向 散 列 函数 产生 该 消息 的 散 列 值 。 

(2) 将 该 散 列 值 附 加 在 该 消息 后 面 。 

(3) 产生 消息 和 散 列 值 级 联 之 后 的 散 列 值 。 

(4) 将 第 〈1) 步 产生 的 散 列 值 与 第 G) 步 产生 的 散 列 值 级 联 而 形成 一 个 更 大 的 散 
列 值 。 

(5) 重复 第 DG) 步 多 次 ， 直 到 获得 你 想 要 的 值 。 

虽然 该 方法 的 安全 性 没有 得 到 证 明 , 但 许多 人 已 给 出 了 对 于 它 的 多 种 严格 的 
pR fa] 1787-89) 


18.1.2 单 向 散 列 函数 综述 
要 设计 一 个 接收 任意 长 度 输 入 的 函数 不 是 容易 的 事 ， 更 不 用 说 还 要 单 向 。 在 实际 中 ， 单 向 


散 列 函数 建立 在 压缩 函数 (compression function) P 
的 想法 上 。 给 定 一 长 度 为 m 的 输入 ， 单 向 丽 数 输出 h 
KA n WRAN., JEA RARA Ep 


组 和 文本 前 一 个 分 组 的 输出 〈 见 图 18-1)。 输 出 是 图 18-1 单 向 函数 
到 该 点 的 所 有 分 组 的 散 列 ， 即 分 组 M: 的 散 列 为 : 
太一 大 COMi AD) 

该 散 列 值 和 下 一 轮 的 消息 分 组 一 起 ， 作 为 压缩 函数 下 一 轮 的 输入 。 最 后 一 个 分 组 的 散 列 
就 成 为 整个 消息 的 散 列 。 

散 列 的 信息 应 该 包含 整个 消息 长 度 的 某 种 二 进 制 表 示 。 这 种 方法 能 消除 由 不 同 长 度 消息 
可 能 会 具有 相同 散 列 值 所 带 来 的 潜在 安全 问题 "0 ， 这 种 技术 有 时 称 为 增强 的 MD (MD- 
strengthening)[s30] 。 

许多 研究 者 已 经 提出 ， 如 果 压 缩 函 数 是 安全 的 ， 那 么 用 它 散 列 任意 长 度 的 消息 也 是 安全 
的 2" 0。 该 结论 还 有 待 证 明 。 

单 向 散 列 函数 的 设计 我 们 已 讨论 了 很 多 。 要 获得 更 详细 的 数学 信息 ， 参 见 文 献 [1028、 
793, 791, 1138, 1069, 414, 91, 858, 1264], Bart Preneel EWU n] fE E K F% a H 
列 函 数 最 详细 的 描述 。 


18.2 Snefru 算法 


Snefru 是 Ralph Merlde Hit H9 — FPF [ay fF pRB” (Snefru 正如 Khufu 和 Khafre, 
是 一 个 埃及 法 老 的 名 字 )， 它 将 任意 长 度 的 消息 散 列 成 128 或 256 位 的 值 。 
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首先 将 消息 分 成 长 为 512m 的 分 组 Om 是 散 列 值 的 长 度 ) 。 若 输出 是 128 位 散 列 值 ， 则 
每 个 分 组 为 384 位 长 ; 若 输出 是 256 位 散 列 值 ， 则 每 个 分 组 为 256 位 长 。 

算法 的 核心 是 函数 H, 它 将 512 位 值 散 列 成 痉 位 值 。 瓦 输出 的 前 关 位 是 这 个 分 组 的 散 
列 ， 余 下 的 丢弃 。 下 一 个 分 组 附 在 上 一 个 分 组 散 列 的 后 面 ， 然 后 又 进行 散 列 〈 初 始 分 组 附 在 
一 串 零 后 ) 。 在 最 后 一 个 分 组 散 列 之 后 〈 如 果 消 息 不 是 分 组 的 整 倍 长 ， 就 用 零 填 充 最 后 一 个 
分 组 ). 将 最 先 的 m 位 附 在 消息 长 度 的 二 进 制 表示 之 后 并 进行 最 后 一 次 散 列 。 

函数 H 基于 另 一 个 作用 于 512 位 分 组 的 可 首 分 组 密码 函数 玉 。 互 是 巨 输 出 的 最 后 m 位 
与 输入 的 最 先 m 位 相 异 或 的 结果 。 

Snefru 的 安全 性 取决 于 函数 下 ， 它 用 多 轮 运 算 使 数据 随机 化 。 每 轮 由 64 个 随机 化 的 子 
轮 组 成 。 在 每 个 子 轮 中 用 不 同 的 字 节 作为 S 盒 的 输入 ，S 盒 输出 的 一 个 字 与 消息 相 邻 的 两 个 
字 相 异 或 。S 盒 的 构造 方式 与 Khafre 中 的 相似 (参见 13.7 节 )， 同 时 还 加 入 一 些 循环 移 位 。 
最 初 的 Snefru 设计 为 两 轮 。 














Snefru 的 密码 分 析 


Biham 和 Shamir 利用 差分 密码 分 析 证 明了 两 轮 Snefru (128 位 散 列 值 ) 是 不 安全 
的 下。 在 数 分 钟 内 ， 他 们 找到 了 能 散 列 到 相同 值 的 一 对 消息 。 

对 4 轮 或 更 少 轮 的 128 位 的 Snefru， 能 够 找到 比 穷 举 攻击 更 好 的 方法 。 对 Snefru 的 生 
日 攻击 需要 2 次 运算 ， 而 差分 密码 分 析 用 2*” 次 运算 能 找到 3 轮 Snefru 具有 相同 散 列 值 的 
一 对 消息 ，4 轮 Snefru 为 2” 次 运算 。 用 穷 举 攻击 寻找 一 给 定 散 列 值 的 消息 需要 2 次 运 
算 ， 差 分 密 但 分 析 对 3 HE Snefru 需要 2” 次 运算 ,对 4 HE Snefru 需要 2” 次 运算 。 

尽管 Biham 和 Shamir 没有 分 析 256 位 散 列 值 ， 但 他 们 已 将 分 析 扩 展 至 224 位 。 对 于 两 
轮 Snefru 和 需要 2 次 运算 的 生日 攻击 比较 ， 他 们 仅 需 要 2”“ 次 运算 就 找到 了 具有 相同 值 的 
消息 ， 而 3 轮 Snefru 只 要 2” 次 运算 ， 对 4 轮 Snefru 也 只 要 2” 次 运算 。 

Rit. Merkle 建议 使 用 至 少 8 轮 的 Snefru" 引 ,但 是 如 此 多 轮 的 算法 比 MDS ak SHA 
要 慢 很 多 。 


18.3  N-Hash 算法 
N-Hash 是 由 日 本 电话 电报 公司 的 研究 人 员 发 明 的 ， 他们 曾 于 1990 年 发 明了 
FEAL‘ 1°) | N-Hash 使 用 128 位 消息 分 组 和 一 个 与 FEAL 类 似 的 复杂 随机 函数 ， 产 生 
128 位 散 列 值 。 
每 个 128 位 分 组 的 散 列 是 这 个 分 组 和 上 一 个 分 组 散 列 的 函数 : 
H,=I 了 工 是 一 个 随机 初始 值 
H,= g(M,.H,,.) @M, @H,, 
整个 消息 的 散 列 是 最 后 一 个 消息 分 组 的 散 列 。 随 机 初始 值 工 可 以 是 用 户 设 置 的 任意 值 (其 至 
为 全 零 ) 。 
g 是 一 个 复杂 函数 。 图 18-2 是 算法 的 概貌 。 初 始 化 时 ， 上 一 个 消息 分 组 H, 1 的 128 位 
散 列 的 64 位 左 半 部 分 和 64 位 右 半 部 分 交换 ， 然 后 与 1010…1010 (128 位 ) 二进制 数 蜡 或 ， 
再 与 本 轮 消息 分 组 M; 相 异 或 。 该 值 级 联 进 入 N (图 中 N=8) 轮 处 理 。 轮 处 理 的 男 一 输入 
是 上 一 个 分 组 散 列 值 与 8 个 二 进 制 常 数值 之 一 的 异 或 结果 。 
图 18-3 给 出 了 一 个 轮 处 理 。 消 息 分 组 分 成 4 个 32 位 值 ， 前 一 个 散 列 值 也 被 分 成 4 个 32 
位 值 。 图 18-4 给 出 了 函数 f. K% S AS, 与 在 FEAL 中 的 一 致 : 
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EXG: 交换 左 半 部 分 和 右 半 部 分 
v: 1010…1010 二 进 制 (128 位 ) 
PS: 轮 处 理 

v=ðllA ISIA all lA ll 

Cll: 级 联 ) 


ô: 000…0 二 进 制 (24 位 ) 
Ai=4x G-1) +k(k=1,2,3,4,4i: 8 位 长 ) 


H=g(M,M,.,) ® (M@M,,) 





H, E 
128 位 128 位 








图 18-2 N-Hash 框图 


X, A 输入 : XXIII, 
P=PillPllPllP, 


yp Vp Vp "7 
P, P, P; Pi 
32 位 32 位 32 位 





输入 : YEY NY, 


Y, y, Y=PS (X,P) Y X 


图 18-3 N-Hash 的 一 个 轮 处 理 
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f(x,P) 


Y=S, (X,,X,) =Ro?2 ( (X,,X,) mod 256) 
Y=S, (XX) =Rot2 ( (X,+X,+1) mod 256) 
Y(8 位 ) : 输出 ,Xi\/X, (8 位 ): 输入 
Rot2(T) : 8 位 数据 7 向 左 环 移 2 位 


图 18-4 函数 f 


S (a, b)=((a+b)mod 256) 向 左 环 移 二 位 。 

Sıla, b)=((a+b+1)mod 256) 向 左 环 移 二 位 。 

轮 处 理 的 输出 变 成 下 一 轮 处 理 的 输入 。 在 前 一 轮 处 理 后 ， 输 出 与 M; 和 互 ;1 相 异 或 ， 然 
后 下 一 个 分 组 准备 散 列 。 


N-Hash 的 密码 分 析 

Bert den Boer 发 现 了 一 种 在 N-Hash 轮 函 数 中 产生 碰撞 的 方法 0426 。Biham 和 Shamir 
用 差分 密码 分 析 破 解 了 6 轮 N-Hashtls25 。 他 们 这 种 特殊 的 攻击 法 〈 肯 定 还 有 其 他 的 方法 ) 
对 被 3 整除 的 N 能 起 作用 ， 对 小 于 15 的 NN 比 生日 攻击 更 有 效 。 

同样 的 攻击 对 12 轮 N-Hash 需 用 2” 次 运算 能 找到 具有 相同 散 列 值 的 消息 ， 而 穷 举 攻击 
需要 2“ 次 运算 。15- 轮 N-Hash 对 差分 密码 分 析 是 安全 的 : 攻击 需要 2” 次 运算 。 

算法 的 设计 者 建议 使 用 至 少 8 轮 的 N-Hashli9 。 鉴 于 已 证 明 N-Hash #l FEAL BA 
全 的 ,我 建议 用 另 一 种 全 新 的 算法 。 


18.4 MD4 算法 


MD4 是 Ron Rivest Hit HK) [a] AF] PHBE) MD 表示 消息 摘要 (Message Di- 
gest) 。 对 输入 消息 ， 算 法 产生 128 位 散 列 值 (或 消息 摘要 )。 
在 文献 [1319] 中 ，Rivest 概括 了 该 算法 的 设计 目标 : 


。 安全 性 。 找 到 两 个 具有 相同 散 列 值 的 消息 在 计算 上 是 不 可 行 的 ， 不 存在 比 
穷 举 攻击 更 有 效 的 攻击 。 

。 直接 安全 性 。MD4 的 安全 性 不 基于 任何 假设 ， 如 因子 分 解 的 难度 。 

。 速度 。MD4 适用 于 高 速 软 件 实现 ， 基 于 32 位 运算 数 的 一 些 简单 位 运算 。 

。 简单 性 和 紧凑 性 。MD4 尽 可 能 简单 ， 没 有 大 的 数据 结构 和 复杂 的 程序 。 

。 有 利 的 Little-Endian 结构 。MD4 最 适合 微 处 理 器 结构 (特别 是 Intel 微 处 
理 器 )， 更 大 型 速度 更 快 的 计算 机 要 做 必要 的 转换 。 


312 + 第 三 部 分 密码 算法 


该 算法 首次 公布 之 后 ，Bert den Boer 和 Antoon Rosselaers 对 算法 3 轮 中 的 后 两 轮 进 行 
了 成 功 的 密码 分 析 "“” 下 。 在 一 个 不 相关 的 分 析 结 果 中 ，Palph Merkle 成 功 地 攻击 了 前 两 
轮 522 | Eli Biham 讨论 了 对 MD4 前 两 轮 进 行 差分 密码 攻击 的 可 能 性 52。 尽管 这 些 攻 击 都 
没有 扩展 到 整个 算法 ,但 Rivest 还 是 改进 了 其 算法 ， 结 果 就 是 MDS 算法 。 


18.5 MD5 算法 


MD5 是 MD4 WAE, ek MD4 更 复杂 ， 但 设计 思想 相似 ， 并 且 也 产生 128 
位 散 列 值 。 


18.5.1 MD5 的 描述 


在 一 些 初始 化 处 理 之 后 ，MD5 以 512 位 分 组 来 处 理 输入 文本 ， 每 个 分 组 又 划分 为 16 个 
32 位 子 分 组 。 算 法 的 输出 由 4 个 32 位 分 组 组 成 ， 将 它们 级 联 形成 一 个 128 位 散 列 值 。 

首先 填充 消息 使 其 长 度 恰 好 为 一 个 比 512 的 倍数 仅 小 64 位 的 数 。 填 充 方法 是 附加 一 个 
1 在 消息 后 面 ， 后 接 所 要 求 的 多 个 0， 然后 在 其 后 附加 上 64 位 的 消息 长 度 〈 填 充 前 ) 。 这 两 
步 的 作用 是 使 消息 长 度 恰好 是 512 位 的 整数 倍 (算法 的 其 余部 分 要 求 如 此 )， 同 时 确保 不 同 
的 消息 在 填充 后 不 相同 。 

4 个 32 位 变量 初始 化 为 : 

A=0x01234567 

B=0x89abcdef 

C=0xfedcba98 

D=0x76543210 
它们 称 为 链接 变量 (chaining variable), 

接着 进行 算法 的 主 循环 ， 循 环 的 次 数 是 消息 中 512 位 消息 分 组 的 数目 。 

将 上 面 4 个 变量 复制 到 另外 的 变量 中 : A 到 a、B 到 5、C 到 c<、D 到 4。 

主 循环 有 4 轮 (MD4 只 有 3 轮 )， 每 轮 很 相似 。 每 一 轮 进行 16 次 运算 。 每 次 运算 对 a, 
b、c 和 d 中 的 其 中 3 个 做 一 次 非 线性 函数 运算 ， 然 后 将 所 得 结果 加 上 第 4 个 变量 、 文 本 的 一 
个 子 分 组 和 一 个 常数 。 再 将 所 得 结果 向 右 环 移 一 个 不 定 的 数 ， 并 加 上 a、65、c 或 4 中 之 一 。 
最 后 用 该 结果 取代 ae、2、< 或 4 中 之 一 。 见 图 18-5 和 图 18-6 。 














18-5 MDS 主 循环 
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非 线性 函数 <<<S 


图 18-6 MD5 的 一 个 执行 过 程 


以 下 是 每 次 运算 中 用 到 的 4 个 非 线性 函数 〈 每 轮 一 个 ) 。 
F(X,Y,Z)= (X AY) V (OX) AZ) 
GX, Y,D = (X NZ) V YAO) 
H(X,Y,Z)=X@®Y@Z 
I(X,Y,Z) =¥ ®X V (m2)) 

V 是 或 、 一 是 反 。) 

这 些 函 数 是 这 样 设计 的 : MRX, YAZ 的 对 应 位 是 独立 和 均匀 的 ， 那么 结果 的 每 一 位 

也 应 该 是 独立 和 均匀 的 。 函 数 下 是 按 逐 位 方式 运算 : 如 果 X, WAY, A Z ARH Æ 


(Ose RM. ABH. 


逐 位 奇偶 操作 符 。 
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iM, 表示 消息 的 第 j 个 子 分 组 G 从 0~15)， 志 二 二 表示 循环 左 移 * 位 ， 则 4 种 运 


算 为 : 


FF(a,6,c,d,M,.s.t;) RI a 一 8 十 (十 (Fecyd) HM; +t) <<< s) 
GG(a,6,c,d,M;55,t;) RIR a = b+ Cat (Glb,c,d) 十 Mi +t) <<< s) 
HH(a,b,c,d,M,,s,t,) RI a = b+ (at (H(b.c,d) HM; +4) <<< s) 
l(a,b,c,d,M ,syt;) RI a = b+ (at U(b,c,d) FM; +t) <<< 5) 

这 4 轮 (64 步 ) 是 : 


第 一 轮 

FFCa,; bs Ca dy 
FF(d, a, bs Cs 
FF Cen dy as Os 
FF(b, c, ds a, 
FF(a, b, c, d, 
FF(d, a, bs ös 
FF Ç; ds ay bs 
EF (by cs dy as 
FF(a, Os es d, 


Ms. 


7, Oxd76aa478) 
12, Oxe8c7b756) 
17, 0x242070db) 
22, Oxclbdceee) 
7, Oxf57cOfaf) 
12, 0x4787c62a) 
17, 0xa8304613) 
22, Oxfd469501) 
7, 0x698098d8) 
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FF(d, as bs c, 
FF(c, d, as b, 
FF(b, c, d, a, 
FF(a, bs cs ds 
FF(d, as by c, 
FF(c, d, a, bs 
FF(b, c, d, as 


第 二 轮 


GG(a, By. Cs d, 


GG(d, 


a, bs Cs 


GG(c, dy as, bs 
GG(b, Cy d, as 
GG(a, b, Cs d, 


GG(d, 


ay bs Cy 


GG(es ds a, bs 
GG(b, Cs d, as 
GG(a, b, Cy d, 


GG(d, 


as b, Cs 


GGCc, d, a, bs 
GG(b, c, d, a, 
GG(a, b, Cy d, 


GG(d, 


as Bs Cs 


GG(c, d, as b, 
GG(b, Cy d, as 


第 三 轮 
HH(a, 
HH(d, 
HH(c, 
HH, 
HH(a, 
HH(d, 
HH(c, 
HH(b, 
HH(a, 
HH(d, 
HH(c, 
HH, 
HH(a, 
HH(d, 
HH(c, 
HH(b, 


b, cs d, 
as by Cy 
d, a, b, 
Cy dy as 
bs. cy dy 
a, by c, 
d, a, b, 
Cy dy as 
bs c, do 
as by Cs 
ds @ bs 
Cy d, a, 
bs Ox ds 
a, b, c, 
d, as b, 


Cs ds as 


M,, 12, 0x8b44f7af) 
Mo, 17, Oxffff5bb1) 
M,,, 22, 0x895cd7be) 
Miz» 7, 0x6b901122) 
Mis» 12, Oxfd987193) 
M, 17, 0xa679438e) 
Mis, 22, 0x49b40821) 


M,, 5, 0Oxf61e2562) 
Ms, 9, 0xc040b340) 
Mi» 14, 0x265e5a51) 
M., 20, Oxe9b6c7aa) 
M;, 5, Oxd62f105d) 
Mi» 9, 0x02441453) 
M,;, 14, Oxd8ale681) 
M,, 20, Oxe7d3fbc8) 
M,, 5, Ox2lelcde6) 
Mi,, 9, 0xc33707d6) 
M;, 14, 0xf4d50d87) 
M;, 20, 0x455al4ed) 
Miz, 5, Oxa9e3e905) 
M:, 9, Oxfcefa3f8) 
M,, 14, 0x676f02d9) 
Mi,, 20, 0x8d2a4c8a) 


M;, 4, Oxfffa3942) 

Mz, 11, 0x8771f681) 
M,,, 16, 0x6d9d6122) 
Mis, 23, Oxfde5380c) 
M,, 4, Oxa4beea44) 

M,, 11, Ox4bdecfa9) 
M,, 16, Oxf6bb4b60) 
M,,, 23, Oxbebfbc70) 
M,;, 4, 0x289b7ec6) 
Ms, 11, Oxeaal27fa) 

M;, 16, Oxd4ef3085) 
Ms, 23, 0x04881d05) 
M,, 4, O0xd9d4d039) 

M,,, 11, Oxe6db99e5) 
M,;, 16, Oxlfa27cf8) 
M,, 23, Oxc4ac5665) 
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第 四 轮 

Illa, b, c, d, My, 6, 0xf4292244) 

Ild: a, bs c, Ms 10, 0x432aff97) 

Ille, ds a, bs My, 15, 0xab9423a7) 

Il(6, c, d, a, M;, 21, 0xfc93a039) 

Ules By cs dy My» 6, 0x655b59c3) 

Id, a, 6, cs Mi» 10, 0x8f0ccc92) 

Il(c, d, a, b, My, 15, Oxffeff47d) 

IIb, c, d, a, M,, 21, 0x85845dd1) 

Illa, b, c, d, Mg, 6, Ox6fa87e4f) 

Il(d, a, b, c, Mis, 10, Oxfe2ce6e0) 

Il(c, ds a, bs Mis 15, 0xa3014314) 

Il(b, cs ds as Miss 21, 0x4e0811al) 

Illa, b, c, d, M,, 6, Oxf7537e82) 

Uld, a, ba cs Mi» 10, Oxbd3af235) 

IIc, d, a, b, Mz, 15, Ox2ad7d2bb) 

IIb, c, d, a, Mg, 21, Oxeb86d391) 

常数 i; 可 以 如 下 选择 : 

在 第 i 步 中 ,，t; 是 2*”Xabs(sin(i) 的 整数 部 分 ，i 的 单位 是 弧度 。 

所 有 这 些 完成 之 后 , 将 A、B、C、DD 分别 加 上 a、6、c、d。 然 后 用 下 一 个 分 组 数据 继 
续 运行 算法 ,最 后 的 输出 是 A、B、C 和 DD 的 级 联 。 


18.5.2 MD5 的 安全 性 


Ron Rivest 概述 了 MD5 相对 MD4 所 做 的 改进 0322] : 

(1) 增加 了 第 四 轮 。 

(2) 每 一 步 均 有 唯一 的 加 法 常数 。 

(3) 为 减弱 第 二 轮 中 函数 G 的 对 称 性 从 (CX AY) V (CX 入 2Z)V (YYV 2)) 变 为 ((X A 
ZIV AY NZ a 

(4) 每 一 步 加 上 了 上 一 步 的 结果 ， 这 将 引起 更 快 的 雪崩 效 应 。 

(5) 改变 了 第 二 轮 和 第 三 轮 中 访问 消息 子 分 组 的 次 序 ， 使 其 形式 更 不 相似 。 

(6) 近似 优化 了 每 一 轮 中 的 循环 左 移 位 移 量 以 实现 更 快 的 雪崩 效应 。 各 轮 的 位 移 量 互 不 
相同 。 

Tom Berson 试图 用 差分 密码 分 析 攻 击 MDS 的 单 轮 " 外 ,但 此 攻击 还 远 未 达到 对 全 部 四 
轮 都 有 效 的 程度 。 相 比 之 下 ，Bert den Boer 和 Antoon Bosselaers 的 攻击 要 成 功 得 多 ， 他 们 
使 用 MD5 中 的 压缩 函数 产生 碰撞 5 .32333233 。 但 这 并 不 能 对 实际 应 用 中 的 MD 进行 攻击 ， 
也 不 影响 Lu-by-Rackoff-like 加 密 算法 中 MDS 的 使 用 (参见 14. 11 节 )。 同 时 这 也 没有 违背 
MD5 的 基本 设计 原则 之 一 一 一 设计 一 个 无 碰撞 的 压缩 函数 。 尽 管 有 一 种 说 法 “压缩 函数 看 
起 来 有 一 个 弱点 ， 但 它 对 散 列 函数 安全 性 的 实际 应 用 没有 丝毫 的 影响 03 ”， 我 还 是 小 心地 
使 用 MD5 。 


18.6 MD2 算法 
MD2 是 Ron Rivet 设计 的 另 一 个 单 向 散 列 函数 ”2 ， 它 与 MD5 一 起 用 于 PEM 协议 
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中 (参见 24. 10 节 )。 它 的 安全 性 依赖 于 字 节 间 的 随机 置换 。 置 换 过 程 是 固定 的 并 依赖 于 数 
F Te Sos Sis Sas ss Szis 是 置换 操作 。 对 消息 M 进行 散 列 运算 : 

CL) 用 值 为 ;的 字 节 对 消息 进行 填充 使 填充 后 的 消息 长 度 为 16 字 节 的 整数 倍 。 

(2) 将 16 字 节 的 校 验 和 附加 到 消息 中 。 

(3) 初始 化 48 字 节 的 分 组 : Xos Xie Xos vey Xas AEX MAH 16 HVA. 第 二 个 
16 字 市 对 应 消息 的 前 16 字 节 ， 第 三 个 16 FES X 的 前 16 字 节 及 第 二 个 16 字 节 相 异 或 。 

(4) 压缩 图 数 为 : 


1 一 0 
对 于 j 二 0 至 17 
对 于 k=0 至 47 
t=X, XOR S, 
X,=t 


t=(t+j) mod 256 
(5) 将 消息 的 第 二 个 16 字 节 置 为 X 的 第 二 个 16 字 节 ，X 的 第 三 个 16 字 节 是 X 的 第 一 
个 16 字 节 和 X 的 第 二 个 16 字 节 的 异 或 。 重 复 第 A) 步 。 消 息 的 每 16 字 节 重复 执行 第 
(5) 和 第 (4) 步 。 
(6) 输出 的 第 一 个 16 字 节 。 尽 管 没 有 发 现 MD2 的 弱点 ， 但 它 比 其 他 建议 的 大 
ERORI Ph BE AR 


18.7 ”安全 a 散 列 算法 
NISI 和 NSA 一 道 设计 了 与 DSS 一 起 使 用 的 安全 散 列 算法 (SHAU (参见 20. 2 W) 
(标准 是 安全 散 列 标准 (SHS), SHA 是 用 于 标准 的 算法 ) 。 
ti (Federal Register)!” : 
建议 提出 一 种 安全 散 列 标准 (SHS) 的 联邦 信息 处 理 标 准 (FIPS)， 该 标准 规 
定 了 一 种 与 用 数字 签名 标准 一 起 使 用 的 安全 散 列 算法 (SHA). FH. HERES 
数字 签名 的 应 用 ，SHA 应 能 用 到 任何 需要 安全 散 列 算法 的 各 联邦 应 用 中 。 
同时 
本 标准 规定 一 种 保证 数字 签名 算法 (DSA) 安全 所 必需 的 安全 散 列 算法 
(SHA)。 当 输入 是 长 度 小 于 2% 位 的 消息 时 ，SHA 产生 称 为 消息 摘要 的 160 位 给 
出 ， 然 后 将 该 摘要 输入 到 用 于 计算 该 消息 签名 的 DSA 中 。 对 消息 摘要 而 不 是 对 消 
息 进行 签名 通常 能 改善 处 理 效率 ， 因 为 消息 摘要 通常 比 消息 小 很 多 。 接 收 到 已 输入 
至 SHA 的 消息 版 本 后 ， 签 名 验证 者 应 获得 同样 的 消息 摘要 ， 因 为 SHA 设计 无 论 
从 给 定 的 消息 摘要 中 恢复 相同 消息 ， 还 是 寻找 两 个 产生 相同 消息 摘要 的 消息 在 计算 
上 均 是 不 可 行 的 ， 所 以 它 是 安全 的 。 传 输 中 因 消 息 的 任何 改变 而 产生 不 同 的 消息 摘 
要 的 概率 非常 高 ， 从 而 使 签名 不 能 通过 验证 。SHA 基于 的 原则 与 MIT 的 Ronald 
L-Rivest 教授 在 设计 MD4 消息 摘要 算法 时 所 用 的 原理 相似 DJ， 并 且 模 仿 了 该 
算法 。 
SHA 产生 160 位 散 列 值 ， 比 MD5 长 。 


18.7.1 SHA 的 描述 
首先 将 消息 填充 为 512 位 的 整数 倍 。 填 充 方法 与 MD5 完全 一 样 : 先 添加 一 个 1， 然 后 
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填充 尽量 多 的 0 使 其 长 度 为 512 的 倍数 刚好 减 去 64 位 ， 最 后 64 位 表示 消息 填充 前 的 长 度 。 
5 个 32 位 变量 CMDS 仅 有 4 个 变量 ， 但 该 算法 却 要 产生 160 位 散 列 值 ) 初始 化 为 : 
A = 0x67452301 
B = Oxefcdab89 
C = 0x98badcfe 
D = 0x10325476 
E = 0xc3d2elf0 
然后 开始 算法 的 主 循环 。 它 一 次 处 理 512 位 消息 ， 循 环 的 次 数 是 消息 中 512 位 分 组 的 
数目 。 
先 把 这 5 个 变量 复制 到 另外 的 变量 中 : A 到 za、 刀 到 2、C 到 c<、 忆 pp 到 4 、 瓦 到 。。 
主 循环 有 4 轮 ， 每 轮 20 次 操作 (MDS 有 4 轮 ， 每 轮 16 次 操作 )。 每 次 操作 对 a、b、c、 
d File 中 的 3 个 进行 一 次 非 线性 运算 ， 然 后 进行 与 MDS 中 类 似 的 移 位 运算 和 加 运算 。 
SHA 的 非 线 性 函数 集合 为 : 
fX, Y, D=(XAYVOOCXAZD 对 于 1 二 0 至 19 
f(X, Y, D=XOYOZ 对 于 t=20 至 39 
fX, Y, Z)=(XAY)V (XAZ)V (YAZ) 对 于 1 一 40 B59 
f(X, Y, D=X@OYOZ 对 于 t=60 至 79 
(Oe RR. ABS. VÆR, WHR.) 
该 算法 同样 用 了 4 个 常数 : 
K,=0x5a827999 对 于 上 一 0 至 19 
K,=Ox6ed9ebal 对 于 上 一 20 至 39 
K,=0x8flbbcde xT t=40 至 59 
K,=Oxca62cld6 对 于 1 二 60 Æ 79 
(这 些 数 来 自 : 0x5a827999 一 272/4、0x6ed9ebal = 3'7/4,. Ox8flbbcde = 5/4、0xca62c1d6 = 
102/4, MARIRI 2”) 
用 下 面 的 算法 将 消息 分 组 从 16 个 32 位 字 (M~Ms) 变 成 80 个 32 位 字 CW ~Wi): 
W.=M 对 于 上 一 0 至 15 
W, = (Ma: ® Ms © Mou OMe iw) <<<1 对 于 上 一 16 至 79 
(如 果 感 兴趣 ， 原 始 的 SHA 中 没有 循环 左 移 。“ 修 改 标准 将 使 其 安全 性 比 预 想 的 安全 性 
BeOS) BE ABE. NSA 已 拒绝 详细 描述 缺陷 的 细节 。) 
设 上 是 运算 序号 〈 从 0 一 79) M, 表示 扩展 后 消息 的 第 上 FFA, <<<s 表示 循环 左 
Bs 位 ， 则 主 循环 如 下 所 示 : 
对 于 t=0 至 79 
TEMP= (a<<<5) +f, (6, c, d) +e+W,+K, 
e=d 
de 
c= be < 30 
b=a 
a=TEMP 
图 18-7 给 出 了 SHA 的 一 次 运算 过 程 。 通 过 不 同 的 移 位 与 在 MD5 算法 中 不 同 阶段 采用 
不 同 变量 相 比 ， 两 者 实现 了 同样 的 目的 。 
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图 18-7 SHA 的 一 次 运算 


在 这 之 后 ，a、b5、c、d 和 e 分 别 加 上 A、B、C、D 和 入， 然后 用 下 一 个 数据 分 组 继续 
运行 算法 ， 最 后 的 输出 由 A、B、C、D 和 五 级 联 而 成 。 


18. 7.2 SHA 的 安全 性 


SHA 与 MD4 非常 相似 ,但 它 有 160 位 散 列 值 。 主 要 的 改变 是 添加 了 扩展 转换 ， 并 且 为 
产生 更 快 的 雪崩 效应 而 将 上 一 轮 的 输出 送 至 下 一 轮 。Ron Rivest 公开 了 MDS 的 设计 思想 ， 
但 SHA 的 设计 者 却 没有 这 样 做 。 这 里 给 出 Rivest 的 MD5 相对 于 MD4 的 改进 ， 以 及 它们 与 
SHA 的 比较 : 

(1)“ 增 加 了 第 四 轮 ”，SHA 也 是 如 此 。 但 在 SHA 中 ,第 四 轮 使 用 了 与 第 二 轮 同样 的 了 
函数 。 

(2)“ 每 一 步 均 有 唯一 的 加 法 常数 "，SHA 保留 了 MD4 的 方案 ， 它 每 隔 20 轮 就 重复 使 
用 这 些 常数 。 

(3)“ 为 减弱 第 二 轮 中 函数 G 的 对 称 性 ， 将 其 从 CCX AY) V(X AZ) V (CY A Z)) BH 
CX AZVYA7ZD).”, SHARH MD 的 形式 (XAY)V (XA2Z)YV (YA 2))，, 

(4)“ 每 一 步 加 上 了 上 一 步 的 结果 ， 这 将 引起 更 快 的 雪崩 效应 ”。SHA 也 做 了 这 种 改变 。 
不 同 的 是 ， 在 SHA 中 增加 了 第 五 个 变量 , AES 已 经 使 用 的 56、c 或 &。 这 个 精巧 的 变化 
使 得 能 用 于 MD5 的 den Boer-Bosselaers 攻击 对 SHA 不 起 作用 。 

(5)“ 改 变 了 第 二 轮 和 第 三 轮 中 访问 消息 子 分 组 的 次 序 ， 使 其 形式 更 不 相似 。” SHA Z 
全 不 同 ， 因 它 采 用 循环 纠 错 编码 。 

(6)“ 近 似 优化 了 每 一 轮 中 的 循环 左 移 位 移 量 以 实现 更 快 的 雪 骨 效应， 各 轮 的 位 移 量 互 
不 相同 。” SHA 在 每 轮 中 采用 与 MDA 中 同样 的 一 个 常数 位 移 量 ， 该 位 移 量 与 字 长 互 素 。 

以 上 结论 产生 了 如 下 的 等 式 : SHA 二 MD4 十 扩展 转换 十 附加 轮 十 更 好 的 雪崩 效应 ; 
MD5 一 MD4 十 改进 的 位 散 列 运算 十 附加 轮 十 更 好 的 雪崩 效应 。 
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对 SHA 还 没有 已 知 的 密码 攻击 ， 并 且 由 于 它 产生 160 位 散 列 ， 所 以 它 比 本 章 中 所 列 的 
其 他 128 位 散 列 函数 更 能 有 效 抵抗 穷 举 攻击 (包括 生日 攻击 )。 


18.8 RIPE-MD 算法 


RIPE-MD 是 为 欧 共 体 的 RIPE m OF HA) (参见 25. 7 节 ) 。 该 算法 是 MD4 的 一 
种 变型 ， 用 以 抵抗 已 知 的 密码 攻击 ， 并 产生 128 位 散 列 值 。 该 算法 改变 了 循环 移 位 和 消息 字 
的 顺序 。 男 外 ， 该 算法 仅 常 数 不 同 的 两 个 实例 是 并 行 运行 的 ， 每 个 分 组 之 后 ， 两 个 实例 的 输 
出 都 加 上 链接 变量 。 这 样 一 来 ， 该 算法 能 更 有 效 抵抗 攻击 。 


18.9 HAVAL 算法 


HAVAL 是 一 种 长 度 可 变 的 单 向 散 列 函数 ”““”， 它 是 MD5 的 改进 版 本 。HAVAL 以 
1024 位 分 组 处 理 消息 ， 是 MDS 的 两 倍 。 它 有 8 个 32 位 链接 变量 ， 也 是 MDS 的 两 倍 。 它 的 
轮 数 可 在 3 一 5 中 变化 (每 轮 有 16 步 )， 并 且 它 能 产生 长 度 为 128、160、192、224 或 256 位 
的 散 列 值 。 

HAVAL 用 高 非 线性 的 7 变量 函数 取代 了 MDS 的 简单 非 线 性 函数 ， 且 每 个 函数 均 能 满 
足 严格 雪崩 准 则 的 要 求 。 每 轮 使 用 单个 函数 ， 但 在 每 一 步 对 输入 进行 了 不 同 的 置换 。 该 算法 
有 一 个 新 的 消息 次 序 ， 且 每 一 步 (第 一 轮 除外 ) 使 用 了 不 同 的 加 法 常数 。 该 算法 同样 有 两 种 
环 移 方式 。 

该 算法 的 核心 是 : 

TEMP = (f(i,A,B,C,D,E,F,G) 二 二 <7) 十 ( 瓦 二 < 二 11) 十 MLLrG)] 十 开 (7) 

H=G, G=F, F=E, E=D, D=C, C=B, B= A, A= TEMP 

可 变 的 轮 数 和 可 变 的 输出 长 度 ， 意 味 着 该 算法 有 15 种 不 同 的 形式 。 由 于 对 HATH 
移 ， 所 以 Den Boer 和 Bosselaers 对 MD5 WICH?! Ais FA HAVAL, 
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MD3 也 是 Ron Rivest 设计 的 另 一 种 散 列 函数 。 它 有 几 个 缺陷 ， 故 从 未 在 实验 室 之 外 运 
用 ， 关 于 它 更 进一步 的 描述 参见 "5 。 

滑铁卢 大 学 的 一 组 研究 人 员 提 出 了 一 种 基于 GF (2°) 中 的 和 迭代 指数 运算 的 单 向 散 列 函 
数 ”" 下 。 该 方案 将 消息 分 为 593 位 分 组 ， 从 第 一 个 分 组 开始 相继 对 这 些 分 组 做 指数 运算 ， 指 
数 是 上 一 个 分 组 计算 的 结果 ， 第 一 个 指数 由 IV 给 

Ivan Damgård 设计 了 一 种 基于 背包 问题 的 单 向 散 列 函数 "4 ， 用 大 约 2” 次 运算 就 能 破 
ees 

Steve Wolfram 的 细胞 自动 机 ”5 是 单 向 散 列 函数 的 基础 ， 该 方案 较 早 的 实现 “和 是 不 安 
全 的 ?229 。Cellhash X [a] LF) pa BO 及 其 改进 版 Subhasht 5 均 是 基于 细胞 自动 
机 的 ， 并 且 它 们 都 是 面向 硬件 设计 的 。Boognish 混合 了 Cellhash 和 MD4 的 设计 原理 [52,47 。 
StepRightUp 也 可 作为 散 列 函数 来 运行 ”| 。 

1991 年 夏季 ，Claus Schnorr 提出 一 种 基于 离散 傅 里 叶 变 换 的 单 向 散 列 函数 ， 称 为 FFT- 
Hashls9] ， 几 个 月 之 后 被 两 个 独立 的 小 组 破解 名 ?8 。Schnorr 又 提出 了 修改 版 FFT-Hash I 
(前 一 个 版 本 更 名 为 FFT-Hasht% Il ， 几 周 后 又 被 破解 了 "5 。Schnorr 提出 了 更 进一步 的 修 
改版 本 ， 但 就 现实 情况 来 看 该 算法 比 本 章 中 其 余 算 法 慢 很 多 。 另 外 一 种 叫 SL: WU BI R 
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BULA RENO, 
男 一 些 有 关 由 单 向 函数 和 单 向 置换 构造 单 向 散 列 函数 的 理论 研究 工作 参见 文献 
[和 2 1138, 1342]. 


18. 11 使 用 对 称 分 组 算法 的 单 向 散 列 函数 

可 以 把 对 称 分 组 密码 算法 用 作 单 向 散 列 函数 。 其 思想 是 ， 如 果 分 组 算法 是 安全 的 ， AA 
单 向 散 列 函数 也 将 是 安全 的 。 

最 显而易见 的 方法 是 使 用 分 组 密码 算法 的 CBC 或 CFB 方 式 、 一 个 固定 的 密 钥 和 IV。 将 
最 后 的 密 文 分 组 作为 散 列 值 。 这 些 方法 在 使 用 DES 的 各 种 标准 中 也 有 描述 : 文献 [1143] 
中 的 两 种 模式 、 文 献 [1145] 中 的 CFB, [55, 56, 54] 中 的 CBC。 以 上 方法 作为 单 向 散 列 
函数 并 不 是 太 理想 ， 尽 管 它 用 作 MAC (参见 18.14%, 

BE AIR A BAES. 上 一 个 散 列 值 作为 输入 ， 当前 散 列 值 作为 输出 。 

实际 中 提出 的 散 列 函 数 更 为 复杂 。 分 组 长 度 通常 等 于 密 钥 长 度 ， 散 列 值 的 长 度 等 于 分 组 
长 度 。 由 于 大 多 数 分 组 算法 是 64 位 的 ， 所 以 已 有 几 种 方案 的 散 列 值 为 分 组 长 度 的 两 倍 。 

假设 散 列 函数 是 正确 的 ， 那 么 方案 的 安全 性 就 建立 在 基本 分 组 函数 的 安全 性 上 。 但 也 有 
例外 。 差 分 分 析 法 攻击 散 列 函数 内 的 分 组 函数 就 比 攻击 单独 以 加 密 方式 出 现 的 分 组 函数 容 
易 : 密 钥 可 知 ， 所 以 可 以 采用 多 种 攻击 手段 ， 成 功 仅 需 要 一 个 正确 对 ， 可 以 生成 需要 的 足够 
多 的 选择 明文 。 相 关 的 工作 参见 文献 (1263, 858, 1313] 

下 面 是 文献 [925, 1465, 1262] 中 各 种 散 列 函数 的 简介 。 关 于 对 这 些 方案 的 攻击 ， 假 
定 其 分 组 算法 是 安全 的 。 就 是 说 ， 对 其 最 好 的 攻击 是 穷 举 攻击 。 

建立 在 分 组 密码 机 制 上 的 散 列 函数 的 一 个 很 实用 的 测试 手段 是 散 列 率 (hash rate)， 或 
n 位 消息 分 组 的 数目 ， 其 中 是 在 每 次 加 密 过 程 中 算法 分 组 的 大 小 。 散 列 率 越 高 ， 算 法 的 运 
行 就 越 快 (文献 [1262] 中 给 出 了 该 名 词 的 相反 定义 ,但 此 处 给 出 的 定义 更 直观 ， 用 得 更 普 
遍 。 这 可 能 引起 混淆 )。 


18. 11. 1 散 列 长 度 等 于 分 组 长 度 的 方案 
一 般 的 方案 描述 如 下 〈 见 图 18-8): 


Ho=Iy Iy 是 随机 初始 值 A é 
H,=E, (B) ®C =e 
其 中 A、B 和 C 可 以 为 M;、M;、HH;1、(M; ,1) 或 常 8 p 


加 密 
Z (假定 为 0) 中 的 任何 一 个 。 互 。 是 某 个 随机 初始 值 : Tn。 


将 消息 分 成 多 个 分 组 M;， 并 能 单独 处 理 它们 。 ae ee ee te 
加 强 MD, 采用 了 与 MDS 和 SHA 同样 的 填充 过 

3 个 不 同 的 变量 可 以 取 4 See 所 以 总 共有 64 种 不 同 的 方案 。Bart 
Preneel 已 全 部 研究 了 它们 号。 

其 中 有 15 种 方案 很 不 安全 ， 原 因为 输出 结果 不 依赖 于 输入 。 有 37 种 方案 是 不 安全 
的 ， 原 因 更 多 。 表 18-1 列 出 了 剩 下 的 12 种 方案 : 前 4 种 很 安全 ， 能 抵抗 所 有 的 攻击 ( 见 
图 18-9); 后面 8 种 足够 安全 ， 能 抵抗 除 定点 攻击 以 外 的 所 有 攻击 ， 没 有 值得 担心 的 
地 方 。 
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表 18-1 分 组 长 度 等 于 散 列 长 度 的 安全 散 列 函数 
H; = En, (M) OM, 

o MOH) BM:@ Hi 

H „(MD © His © M, 

H; = En, (M: @ Hai) @M, 

H, = Ev (Ha) ® Hin 

H; = Eu, (M; ® Hin) OM: OH 

H; = Ew, (H) OM, O Hin 

H; = Eu, (M; ® Hin) ® Hin 

1 = Ev,on,, (M) © M; 

i= Em @n, (Hii) ® Him 

i = Enon, (M) ® Hai 

i = Emon, (Hin) © Mi 








图 18-9 分 组 长 度 等 于 散 列 大 小 的 4 种 保密 散 列 函数 


第 1 种 方案 在 文献 [1028] 中 有 描述 。 第 3 种 方案 在 文献 [1555、1105、1106」]」 中 有 描 
述 ， 并 被 建议 作为 ISO tye! 。 第 15 种 方案 由 Carl Meyer 提出 ， 在 文献 [1606、1607、434、 
1028] 中 一 般 称 为 Davies-Meyer 算法 。 第 10 种 方案 作为 LOKI 的 散 列 函数 模式 [2 。 

第 1、2、3、4、9、11 种 方案 的 散 列 率 为 1， 密 钥 长 度 等 于 分 组 长 度 。 其 余 方案 散 列 率 
为 &/a， 其 中 & 是 密 钥 长 度 。 这 就 意味 着 ， 如 果 密 钥 长 度 比分 组 长 度 短 ， 那 么 消息 分 组 的 长 
度 就 只 能 是 密 钥 长 度 。 不 推荐 消息 分 组 长 度 比 密 钥 长 度 长 ， 即 使 加 密 算法 的 密 钥 长 度 比分 组 
长 度 长 。 

如 果 分 组 密码 算法 有 类 似 DES 的 实现 特性 和 弱 密 钥 ， 那 么 针对 这 12 种 方案 可 能 就 有 其 
他 的 攻击 方法 。 该 攻击 虽 不 能 破译 算法 但 得 小 心 防范 。 不 过 ， 可 以 通过 在 密 钥 中 国定 位 2 和 
3 的 值 为 01 或 10 来 防止 这 种 攻击 ""“"”]。 当 然 ， 这 将 的 长 度 从 56 位 减少 到 54 位 (假设 
在 DES 中 )， 并 降低 散 列 率 。 

文献 中 提出 的 以 下 方案 已 证 明 是 不 安全 的 。 

文献 [369] 攻破 了 文献 [1282] 中 的 方案 : 

H, = Ey, (Hi) 
Davies 和 Price 提出 了 一 个 变型 ， 该 变型 将 整个 消息 循环 两 次 5?.43] | Coppersmish 的 
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攻击 正 是 在 不 需要 大 的 计算 要 求 下 针对 该 变型 的 S31。 
文献 [432、458] 中 的 另 一 个 方案 在 文献 [1606」 中 已 证 明 是 不 安全 的 : 
H; — Enon, CH34) 
这 个 方案 在 文献 [1028] 中 已 证 明 是 不 安全 的 〈c 是 一 个 常数 ) : 
H; = Ec (M; Ha) ® M; ® H; 1 


18.11.2 改进 的 Davies-Meyer 


Lai 和 Massey 用 IDEA 密码 算法 修改 了 Davies-Meyer Fy O°"), IDEA 的 分 组 长 度 为 
64 位 ， 密 钥 长 度 为 128 位 ， 方 案 如 下 : 

Ho=Is 其 中 Is 是 随机 初始 值 

H;=En_,,m, Hi1) 

该 函数 对 64 位 分 组 消息 进行 散 列 运算 ， 并 产生 64 位 散 列 值 〈 见 图 18-10) 。 


H, 加 密 
a= 密 角 | i 
EJ 


M, 





图 18-10 改进 的 Davies-Meyer 
对 该 方案 还 没有 已 知 的 比 穷 举 攻击 更 容易 的 攻击 方法 。 


18. 11. 3 Preneel-Bosselaers-Govaerts-Vandewalle 


在 文献 [1266] 中 首次 提出 的 这 种 散 列 函数 用 于 产生 两 倍 于 分 组 密码 算法 分 组 长 度 的 散 
列 函 数 : 64 位 算法 产生 128 位 散 列 。 
该 方案 利用 64 位 分 组 算法 产生 两 个 64 位 散 列 值 G; MH: CNREE 128 位 散 列 。 
对 大 多 数 分 组 算法 来 说 ， 分 组 的 大 小 是 64 位 。 具 有 分 组 长 度 的 相 邻 消息 分 组 L; 和 R; 同时 
进行 如 下 散 列 运算 : 
Go= Ic Tc 是 随机 初始 值 
瓦 " 王 Jr In 是 随机 初始 值 
G;= EL on, (Ri OG) OR: OG, © Hai 
A;= EL er, (Hey 由 Gi) 由 L; OG 由 H; 
Lai 通过 一 些 实例 ,说 明生 日 攻击 是 可 行 的 ， 由 此 来 论证 对 该 方案 的 攻击 "**] 。Prened* 
和 Don Coppersmith”” 引 也 对 该 方案 进行 了 成 功 地 攻击 。 不 要 使 用 这 种 方案 。 


18. 11.4 Quisquater-Girault 


在 文献 [1279] 中 首次 提出 的 这 种 方案 也 是 用 于 产生 两 倍 于 分 组 算法 长 度 的 散 列 值 ， 并 
且 散 列 率 为 /。 它 有 两 个 散 列 值 C 和 互 ;， 也 有 两 个 分 组 志 和 R;， 并 同时 进行 散 列 运算 : 
Go= Ic Ic 是 随机 初始 值 
o= Jn In 是 随机 初始 值 
Wi= E, (Gin DR) OR, OH 
G;= Er W: BDL;) OG. © An OL; 
H,= W: @ Gi 
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该 方案 出 现 于 1989 年 的 ISO 标准 草案 中 ""* ， 但 在 后 来 的 版 本 中 被 取消 了 "5 。 在 文献 
[1107, 925, 1262, 372] 中 证 实 了 该 方案 中 存在 的 安全 问题 (实际 上 ， 自 从 先前 的 版 本 在 
会 议 上 被 攻击 后 ， 现 有 版 本 已 被 加 强 )。 在 某 些 实 例 中 ， 生 日 攻击 的 复杂 性 为 2”， 而 不 是 穷 
举 攻击 的 2”。 不 要 使 用 这 种 方案 。 


18.11.5 LOKI 双 分 组 
该 算法 是 Quisquater-Girault 的 一 种 改进 版 ， 特 别 为 LOKI 设计 。 所 有 的 参数 与 
Quisquater-Girault 的 一 致 。 
Go 二 Ics Ic 是 随机 初始 值 
于 ,二 Jn In 是 随机 初始 值 
W.= E, ®Ga (Ga @R,) OR: OH: 
G;= Ere@n,, Wi OL) OG O AA 由 也， 
H;=W; @ Gi 
同样 ， 在 一 些 实例 中 ， 生 日 攻击 是 可 行 的 ”12%2.32.336] 。 不 要 使 用 该 方案 。 


18. 11.6 并 行 Davies-Meyer 


还 有 其 他 的 散 列 率 为 1 的 算法 能 产生 两 倍 于 分 组 算法 长 度 的 散 列 值 "”*。 
Go= Ic Tc 是 随机 初始 值 
Ho=In In 是 随机 初始 什 
G:= EL or, (Ga OL) OL: ®© Hı 
H;= Er (Hin © RD) OR: O Az 
很 不 幸 ， 该 方案 也 不 安全 "*”*”] 。 结 论 是 ， 散 列 率 为 1 的 双 倍 散 列 函 数 没有 比 Davies- 
Meyer EREK, 


18. 11. 7 串联 和 并 联 Davies-Meyer 
由 于 64 位 密 钥 的 分 组 密码 存在 内 在 缺陷 ， 所 以 还 有 一 种 解决 办 法 是 使 用 64 位 分 组 和 
128 位 密 钥 的 算法 ， 如 IDEA (参见 13.9 节 ) 。 在 文献 [930、925] 中 有 两 种 方案 均 产 生 
128 位 散 列 值 且 散 列 率 为 1/2。 
在 第 一 种 方案 中 ， 两 个 改进 的 Davies-Meyer 函数 以 串联 方式 工作 〈 见 图 18-11)。 
G= Ic Ie 是 随机 初始 值 
Ho= In In 是 随机 初始 值 
Wi= Eo,m Haa) 
G:= Gir ® Ew,.w, (Gi1) 
H=W @ H;, 
在 第 二 种 方案 中 ， 两 个 改进 的 Davies-Meyer 函数 以 并 联 方 式 工作 〈 见 图 18-12) 。 
Go= Ic Ie 是 随机 初始 值 
Ho= In, Ip 是 随机 初始 值 
Gi= Ga © Eu.n CGH) 
H;= Ha © Ec m, (H+) 
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图 18-12 并联 Davies-Meyer 


在 这 两 种 方案 中 ， 两 个 64 位 散 列 值 G MH: 级 联 形成 128 位 散 列 值 。 

迄今 为 止 ， 该 算法 具有 对 128 位 散 列 函数 而 言 最 理想 的 安全 性 : 寻找 给 定 散 列 值 的 消息 
需要 2” 次 尝试 ， 寻 找 具 有 相同 散 列 值 的 两 个 随机 消息 需要 2” 次 尝试 一 一 假定 除了 用 穷 举 
攻击 外 ， 对 分 组 密码 算法 没有 更 好 的 攻击 方法 。 


18. 11.8 MDC-2 和 MDC-4 


MDC-2 和 MDC-4 首先 由 IBM FRI 。MDC-2， 有 时 称 为 Meyer-Schilling， 已 考 
虑 用 作 ANSI 和 ISO 标准 :5 "5 。 在 文献 [762] 中 提出 了 它 的 一 个 变型 。MDC-4 是 为 RIPE 
项 目 研 制 的 "5 (参见 25.7 节 )。 尽 管理 论 上 可 以 使 用 任何 加 密 算法 ， 但 MDC-4 还 是 用 
DES 作为 分 组 函数 。 

MDC-2 的 散 列 率 为 1/2， 产 生 的 散 列 值 的 长 度 为 分 组 长 度 的 两 倍 。 图 18-13 表明 了 这 一 
点 。MDC-4 产生 的 散 列 值 的 长 度 也 为 分 组 长 度 的 两 倍 ， 不 过 其 散 列 率 为 1/4， 见 图 18-14。 

















图 18-13 MDC-2 
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图 18-14 MDC-4 


这 些 方案 在 [925、1262] 中 已 做 过 分 析 。 在 现 有 计算 能 力 下 它们 是 安全 的 ， 但 不 如 设 
计 者 估计 的 安全 。 假 如 分 组 算法 是 DES， 这 些 方案 已 用 差分 分 析 方 法 攻击 过 0265 。 
MDC-2 和 MDC-4 都 已 取得 专利 C23] 。 


18.11.9 AR 散 列 函数 


AR 散 列 函数 由 算法 研究 公司 开发 ， 并 已 由 ISO 仅 用 于 信息 目的 予以 发 布 b6] 。 其 基本 
结构 是 CBC 模式 中 基本 分 组 密码 的 变型 (参考 了 DES) 。 最 后 的 两 个 密 文 分 组 和 常数 与 当前 
的 消息 分 组 异 或 ， 并 由 算法 加 密 。 散 列 由 最 后 的 两 个 密 文 分 组 计算 。 消 息 被 执行 两 次 ， 分 别 
采用 不 同 的 密 钥 ， 所 以 散 列 率 为 1/2。 第 一 个 密 钥 为 0x0000000000000000， 第 二 个 密 钥 为 
0x2a41522f4446502a, c 为 0x0123456789abcdef。 结 果 被 压缩 成 一 个 128 位 散 列 值 。 具 体 细 
节 参 见 文献 [750]. 

H; m Ex (M; Ha 中 H; ® c) @® M; 

这 听 起 来 很 有 意思 ， 但 它 不 安全 。 在 考虑 其 预 处 理 后 ， 很 容易 找到 对 该 散 列 函 数 的 攻击 

方法 [6 。 


18.11.10 GOST 散 列 函 数 


该 散 列 函数 来 自 俄罗斯 ， 被 指定 用 于 COST R 34. 11-94 标准 中 。 尽 管 在 理论 上 它 可 
以 用 任何 64 位 分 组 和 128 位 密 钥 ,但 它 采 用 了 GOST 分 组 算法 (参见 14.14). BRIM 
数 产生 256 位 散 列 值 。 

压缩 函数 昌 ; 二 f(M;，H;_1)( 运 算数 均 为 256 位 ) 定义 如 下 : 

(1) 通过 对 M;、H;_ 1 和 一 些 常数 进行 某 些 线性 运算 ， 产生 4 个 GOST 加 密 密 钥 。 

(2) 利用 每 一 个 密 钥 以 ECB 方式 对 HA Tal 64 位 进行 加 密 。 将 结果 的 256 位 存 人 临 
时 变量 S 中。 

(3) HÆS, Mi, H ARRERA. 

M 的 最 终 散 列 值 不 是 最 后 分 组 的 散 列 值 。 实 际 上 使 用 了 3 个 链接 变量 : H, 是 最 后 消息 
分 组 的 散 列 值 ，Z 是 所 有 消息 分 组 之 和 模 2%, 工 是 消息 的 长 度 。 给 出 这 些 变 量 和 填充 的 最 
后 分 组 M ， 最 后 的 散 列 值 为 : 
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H = f(Z@M’, f(L, f(M’ ,H,))) 
该 描述 有 点 难以 理解 ， 但 我 认为 它 是 正确 的 。 无 论 如 何 ， 该 方案 已 考虑 用 在 俄罗斯 数字 
签名 标准 中 (RDSS) (参见 20. 3 节 ) 。 


18. 11. 11 其 他 方案 


Ralph Merkle 提出 了 一 个 使 用 DES 的 方案 ， 但 它 太 慢 : 在 每 次 迭代 中 它 仅 处 理 7 位 消 
息 ， 而 且 在 每 次 迭代 中 涉及 两 个 DES pHo] [1642、1645] 中 的 另 一 个 方案 是 不 安 
全 的 (1 ， 该 方案 曾 被 建议 作为 ISO 标准 。 


18.12 ”使 用 公开 密 钥 算法 


在 分 组 链接 模式 中 使 用 公开 密 钥 算 法 作为 单 向 散 列 函数 是 可 能 的 。 如 果 扔 掉 了 私人 密 
钥 ， 破 译 散 列 就 将 与 没有 私人 密 钥 读 消息 同样 困难 。 
这 里 给 出 如 何 使 用 RSA 的 一 个 例子 。 设 M 是 待 进行 散 列 运算 的 消息 ，n 为 两 个 素数 p 
和 g 的 乘积 ，e 是 一 个 与 (p 一 1)X(g 一 1) 互 素 的 大 数 ， 则 散 列 函数 HM) MH: 
H(M) = Me mod n 
还 有 一 个 更 容易 的 解决 方法 是 使 用 单个 强 素数 p 作为 模 数 ， 则 : 
H(M) = M’ mod p 
破译 这 个 问题 可 能 与 寻找 e 的 离散 对 数 同样 困难 。 该 算法 存在 的 问题 是 ， 它 比 这 里 讨论 
的 所 有 其 他 算法 慢 很 多 。 基 于 这 个 理由 我 建议 不 要 使 用 它 。 


18. 13 选择 单 向 散 列 函数 
可 选 的 方案 可 能 有 SHA, MDS 和 基于 分 组 密码 的 构造 ， 而 其 他 的 方案 实在 没有 得 到 足 
够 的 研究 。 我 建议 使 用 SHA。 它 的 散 列 值 比 MD5 长 ， 比 各 种 分 组 密码 构造 更 快 ， 并 且 是 由 
NSA 研制 的 。 我 坚信 NSA 在 密码 学 上 的 能 力 ， 尽 管 他 们 没 将 其 结果 公之于众 。 
K 18-2 给 出 了 一 些 散 列 函数 的 实时 测量 结果 。 它 们 仅 做 比较 之 用 。 
表 18-2 在 33MHz 486SX 上 一 些 散 列 函 数 的 加 密 速 度 








算法 散 列 长 度 加 密 速度 ( 千 字 节 / 秒 ) 
并 联 Davies-Meyer (IDEA) 128 22 
Davies-Meyer (DES) 64 9 
GOST 256 11 
HAVAL(3 轮 ) 可 变 168 
HAVAL(4 轮 ) 可 变 118 
HAVAL(5 轮 ) 可 变 95 
MD2 128 23 
MD4 128 l 236 
MD5 128 174 
N-Hash (12 轮 ) 128 29 
N-Hash (15 轮 ) 128 24 
RIPE-MD 128 182 
SHA 160 75 
Sneeru (4 轮 ) 128 48 
Sneeru (8 轮 ) 128 23 


18. 14 消息 鉴别 码 
与 密 钥 相关 的 单 向 散 列 函数 通常 称 为 MAC， 即 消息 鉴别 码 。MAC 具有 与 先前 讨论 的 
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单 向 散 列 函数 同样 的 特性 ,但 MAC 还 包括 一 个 密 钥 。 只 有 拥有 相同 密 钥 的 人 才能 鉴别 这 个 
散 列 。 这 对 于 在 没有 保密 的 情况 下 提供 可 鉴别 性 是 非常 有 用 的 。 

MAC 可 在 用 户 之 间 鉴 别 文件 。 它 还 可 以 被 单个 用 户 用 来 确定 他 的 文件 者 否 已 改动 ， 或 
者 否 感染 了 病毒 。 用 户 也 可 以 计算 出 文件 的 MAC， 并 将 该 值 存 人 某 个 表 中 。 如 果 用 户 采用 
了 单 向 散 列 函数 ， 在 感染 病毒 后 就 可 计算 出 新 的 散 列 值 ， 并 用 它 代 替 表 中 的 值 。 病 毒 就 不 能 
做 到 这 一 点 ， 因 为 它 不 知道 密 钥 。 

将 单 向 散 列 函 数 变 成 MAC 的 一 个 简单 办 法 是 用 对 称 算法 加 密 散 列 值 。 相 反 ， 将 MAC 
变 成 单 向 散 列 函数 则 只 需 将 密 钥 公开 即 可 。 


18. 14.1 CBC-MAC 


创建 一 个 与 密 钥 相 关 的 单 向 散 列 函数 最 简单 的 方法 是 用 分 组 算法 的 CBC 或 CFB 模式 加 
密 消息 。 将 最 后 一 个 密 文 分 组 的 散 列 再 一 次 用 CBC 或 CFB 模式 加 密 。 在 ANSI X9. 9559 、 
ANSI X9. 1959 ISO 8731-1'%" ISO 9797554 中 规定 了 CBC 方法 ， 它 同时 也 是 澳大利亚 标 
准 045 。 差 分 分 析 法 能 破译 以 减少 轮 数 的 DES 或 FEAL 作为 基本 分 组 算法 的 该 方案 "1!。 

该 方法 的 安全 问题 是 接收 者 必须 知道 密 钥 ， 该 密 钥 允许 他 靠 逆向 解密 产生 一 个 与 给 定 消 
息 散 列 值 相同 的 另 一 消息 。 


18. 14. 2 ”消息 鉴别 算法 


该 算法 是 一 个 ISO pre =. EE 32 位 散 列 ， 并 为 具有 快速 乘法 指令 的 大 型 计算 机 
所 设计 中， 
v= Ve 
e= VOw 
x= ((((e+y)mod2*)V A A C) X (2 ®M;)) mod 2” — 1 
y= ((((e + xz)mod 2") V BA D) X (y ®M;)) mod 2” — 2 
迭代 每 个 消息 分 组 M; ， 散 列 结果 是 x Aly 的 异 或 。 变 量 v 和 e HMARE, AL BL Cy 
D 是 常数 。 
该 算法 有 很 广泛 的 应 用 ， 但 我 不 相信 它 总 是 安全 的 。 它 已 设计 很 久 了 ， 也 不 复杂 。 


18. 14.3 双向 MAC 


该 MAC 产生 的 散 列 值 大 小 是 分 组 长 度 的 两 们 5。 首先 ， 计 算 消息 的 CBC-MAC。 然 
后 ， 按 逆序 计算 消息 分 组 的 CBC-MAC。 双 向 MAC 的 值 是 两 者 的 级 联 。 很 不 幸 ， 该 方案 是 
ARB Be HO" 


18. 14.4 Jueneman 方法 


该 类 MAC 又 称 为 二 次 同 余 操作 探测 码 CQCMDO)'5) | Fi REA EA AP Rm 位 分 
组 。 然 后 : 
H, = In Tp 是 安全 密 钥 
H; = (Hii 十 Mi)” mod p pp 是 小 于 2" 一 1 的 素数 ,并 且 十 为 整数 加 法 
Juenmeman 建议 n= 二 16，p 二 2 一 1。 在 文献 1792] 中 他 建议 增加 一 个 密 钥 作为 Hi, Kh 
消息 起 点 为 H20 
因为 在 Don Coppermith 中 常 伴随 诸如 生日 攻击 类 的 攻击 ， 所 以 Jueneman 建议 计算 
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QCMDC4 次 ， 把 每 一 次 迭代 的 结果 作为 下 一 次 迭代 的 TV， 并 把 结果 级 联 获得 128 位 散 列 
T, R 4 次 迭代 和 进行 级 联 使 该 方案 大 大 加 强 了 "”” =. GK Ty HK BK Coppersmith 
ae 

Fa — BS RS ERR IA, HEHE pA 4. Ho 也 重新 设置 为 
不 是 密 钥 的 单 向 散 列 函数 。 该 方案 被 攻击 后 "5 ， 又 作为 欧洲 开放 市 场 信息 项 目 CEOSITT) 
的 一 部 分 得 到 加 强 5"221 ， 并 且 被 CCITT X. 509 所 引用 ， 被 ISO 10118" RAY. HAS 
幸 ， 该 方案 又 被 Coppersmith MAE! 。 此 外 还 做 了 一 些 不 是 指数 2 的 研究 工作 "但 都 没 
有 前 途 。 


18. 14.5 RIPE-MAC 


RIPE-MAC 由 Bart Preneel EHE, Æ RIPE 项 目 中 被 采用 630 (参见 18.8 节 )。 它 
基于 ISO 9797"), 3 Hf DES 作为 分 组 加 密 函 数 。RIPE-MAC 有 两 种 形式 : 一 种 使 用 
通用 的 DES， 称 为 RIPE-MAC1; 另 一 种 使 用 三 重 DES 以 获得 更 高 的 安全 性 ， 称 为 RIPE- 
MAC3。RIPE-MAC1 对 每 64 位 消息 分 组 进行 一 次 DES 加 密 。RIPE-MAC3 进行 3 次 。 

算法 由 3 部 分 组 成 。 首 先 ， 扩 展 消息 使 其 长 度 为 64 位 的 倍数 。 然 后 ， 将 扩展 后 的 消息 
分 成 64 位 分 组 。 在 一 个 保密 的 密 钥 控制 下 ， 用 一 个 带 密 钥 的 压缩 函数 将 这 些 分 组 散 列 成 一 
个 64 位 分 组 。 这 是 DES 或 三 重 DES 均 需 要 的 步 又。 最 后 ， 从 压缩 时 使 用 的 密 钥 导出 另 一 
个 不 同 的 密 钥 ， 对 压缩 的 输出 进行 另 一 次 基于 DES 的 加 密 。 详 见 文献 [1305]. 


18. 14.6 IBC-Hash 


IBC-Hash 是 另 一 个 在 RIPE 项 目 中 采用 的 MACY! (参见 18.8 节 ) 。 它 有 吸引 力 的 原 
因 是 因为 它 被 证 明 是 正确 的 ， 成 功 攻击 的 概率 能 被 量化 。 不 幸 的 是 ， 每 条 消息 必须 用 不 同 的 
密 钥 进行 散 列 。 安 全 级 的 选择 受 能 进行 散 列 的 最 大 消息 长 度 的 制约 一 一 而 与 本 章 中 的 其 他 函 
数 不 同 。 基 于 这 些 考 虑 ，RIPE 报告 建议 将 IBC-Hash 仅 用 于 长 而 不 经 常 发 送 的 消息 。 

该 函数 的 核心 为 : 

h; = ((M; mod p) + v)mod 2" 

p 和 w 是 秘密 密 钥 对 ， 其 中 p 是 n 位 素数 ,，v 是 比 2” 小 的 随机 数 。Mi; 的 值 可 从 规定 的 填充 
过 程 推 导出 。 攻 破 单 向 函数 和 进行 碰撞 攻击 的 概率 可 以 计算 出 来 ， 用户 还 可 以 靠 改 变 参数 来 
选择 其 安全 级 。 


18. 14.7” 单 向 散 列 函数 MAC 


单 向 散 列 函数 也 可 作为 MAC 来 使 用 05 。 假 定 Alice 和 Bob 共享 一 个 密 钥 K, 并且 Alice 
欲 向 Bob 发 送 消息 M 的 MAC, Alice 将 M 和 级 联 并 计算 其 结果 的 单 向 散 列 值 H(CK，M)， 
该 散 列 就 是 MAC。 只 要 Bob 知道 K， 他 就 能 重新 恢复 Alice 的 结果 。 而 Mallory 不 知道 K, Hr 
以 他 不 能 恢复 Alice 的 结果 。 

该 方案 采用 增强 的 MD 技术 ,但 它 有 严重 的 问题 。Mallory 也 能 在 消息 末尾 增加 一 个 新 
消息 分 组 ， 并 产生 其 合法 的 MAC, 假如 在 消息 开始 处 放 入 消息 的 长 度 ， 可 使 该 攻击 受阻 ， 
但 Preneel 怀疑 这 方案 的 安全 性 中。 把 密 钥 放 在 HM, K) 的 末尾 ， 还 可 能 会 好 些 ， 但 也 
有 一 些 问 题 bzss5] 。 如 果 人 及 是 单 向 的 且 能 出 现 一 些 碰撞 ，Mallory 就 能 伪造 该 消息 。 所 以 最 好 
是 H(K, M, K) X H(K,, M, K.), 其 中 Ki, K: KAP, Preneel 对 此 仍然 有 疑虑 。 

下 面 的 构造 似乎 是 安全 的 : 
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H(K,,H(K,,M)) 
H(K,H(K,M)) 
HH(K,p,M,K) il pHEK 形成 完整 的 消息 分 组 
最 好 的 方法 是 每 个 消息 分 组 至 少 级 联 64 位 密 钥 。 这 使 单 向 散 列 函数 的 效率 降低 了 ， 因 
为 消息 分 组 变 得 更 小 ， 但 更 安全 。 
可 采用 单 向 散 列 函数 和 对 称 算 法 。 散 列 文件 ， 然 后 加 密 该 散 列 。 它 比 先 加 密 文件 ， 后 散 
列 已 加 密 的 文件 安全 很 多 ， 但 它 容 易 受 到 与 HM, K) 同样 的 攻击 55 。 


18. 14.8 序列 密码 MAC 


这 种 MAC 采用 序列 密码 〈 见 图 18-15)5 。 一 个 密码 学 上 安全 的 伪 随 机 位 发 生 器 将 消 
息 序 列 分 离 成 两 个 子 序 列 。 如 果 位 发 生 器 的 输出 位 包 是 1， 那 么 将 当前 消息 位 m; 送 入 第 一 
个 子 序列 ; 若是 &; 为 0， 则 将 m 送 入 第 二 个 子 序列 。 这 两 个 子 序列 分 别 反 馈 至 不 同 的 线性 
反馈 移 位 寄存 器 中 (LFSR) (参见 16. 2 节 )。MAC 的 输出 就 是 移 位 寄存 器 的 最 后 状态 。 











移 位 寄存 器 1 
消息 序列 


移 位 寄存 器 2 


图 18-15 序列 密码 MAC 
很 不 幸 ， 该 方案 对 消息 的 细微 变化 是 不 安全 的 。 例 如 ， 如 果 你 改变 消息 的 最 后 一 位 ， 


MAC 中 的 相应 值 只 需要 改变 两 位 就 能 产生 伪造 的 MAC。 要 做 到 这 一 点 很 容易 。 后 来 ， 设 
者 提出 了 一 个 更 安全 更 复杂 的 方法 。 
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公开 密 钥 算 法 





19.1 背景 

公开 密 钥 密码 学 的 概念 是 由 Whitfield Diffie 和 Martin Hellman 发 明 的 ，Ralph Merkle 
也 独立 提出 了 此 概念 。 它 在 密码 学 上 的 贡献 在 于 使 用 了 一 对 密 钥 (加 密 密 钥 和 人 解密 密 钥 )， 
并 且 从 解密 密 钥 推 出 加 密 密 钥 是 不 可 行 的 〈 参 见 2. 5 节 )。1976 年 ，Diffie 和 Hellman 在 美 
国 国家 计算 机 会 议 上 首先 公布 了 这 个 概念 *， 几 个 月 后 ， 出 版 了 这 篇 开创 性 的 论文 “New 
Directions in Cryptography”( 密 码 学 的 新 方向 )" (由 于 处 理 过 程 很 繁琐 ， 所 以 Merkle 对 
这 一 领域 的 首次 贡献 直到 1978 AEA AFF) , 

1976 年 后 ， 提 出 了 多 种 公开 密 钥 算法 ， 其 中 许多 是 不 安全 的 。 而 那些 被 视 为 安全 的 算 
法 ， 有 许多 却 不 实用 ， 要 么 密 钥 太 大 ， 要 么 密 文 远大 于 明文 。 

只 有 少数 几 个 算法 既 安 全 又 实用 。 这 些 算 法 大 多 针对 11. 2 节 中 讨论 的 难题 。 在 这 些 既 
安全 又 实用 的 算法 中 ， 一些 仅 适用 于 密 钥 分 配 ， 一 些 适用 于 加 密 ( 且 扩展 作为 密 钥 分 配 )， 
还 有 一 些 只 适用 于 数字 签名 。 只 有 三 种 算法 可 以 同时 很 好 地 用 于 加 密 和 数字 签名 : RSA, 
ElGamal 和 Rabin。 不 过 这 些 算法 都 很 慢 。 它 们 加 密 和 解密 速度 比 对 称 算法 慢 很 多 ， 通 常 太 
慢 以 至 于 无 法 用 于 许多 快速 数据 加 密 。 

混合 密码 系统 (参见 2. 5 节 ) 提供 了 一 种 较 好 的 方法 : 使 用 带 随机 会 话 密 钥 的 对 称 算法 
来 加 密 消息 ， 使 用 公开 密 钥 算 法 来 加 密 随 机 会 话 密 钥 。 


公开 密 钥 算法 的 安全 性 


因为 密码 分 析 者 能 获取 公开 密 钥 ， 他 们 总 是 可 以 选择 任意 消息 来 加 密 。 这 意味 着 ， 给 
mE FC=E,CP) 的 密码 分 析 者 能 够 猜测 已 的 值 并 很 容易 验证 他 们 的 猜想 。 如 果 可 能 的 明 
文 数 少 到 足以 进行 穷尽 搜索 ， 这 就 将 是 一 个 严重 的 问题 ， 但 这 能 够 通过 用 随机 位 串 填充 
消息 的 方法 来 解决 。 这 使 相同 的 明文 加 密 得 到 不 同 的 密 文 (有关 该 方法 的 更 多 知识 ， 参 
见 23. 15 45). 

用 公开 密 钥 算法 来 加 密会 话 密 钥 ， 这 一 点 尤其 重要 。Eve 能 够 产生 一 个 由 Bob 的 公开 密 
钥 加 密 的 所 有 可 能 会 话 密 钥 的 数据 库 。 当 然 ， 这 需要 很 多 时 间 和 大 容量 存储 器 ， 但 对 40 位 
出 口 密 钥 或 56 位 DES 密 钥 而 言 ， 这 比 攻 击 Bob 的 公开 密 钥 算法 所 用 的 时 间 和 存储 空间 要 少 
很 多 。 一 旦 Eve 获得 了 该 数据 库 后 ， 她 就 可 以 任意 地 读 取 Bob 的 邮件 。 

公开 密 钥 算法 能 抵抗 选择 明文 攻击 ， 它 们 的 安全 性 依赖 于 由 公开 密 钥 恢 复出 私人 密 钥 的 
难度 和 由 密 文 恢 复出 明文 的 难度 。 然 而 ， 大 多 数 公 开 密 钥 算 法 特别 容易 受到 选择 密 文 的 攻击 
CL 1.1 49). 

数字 签名 是 加 密 的 逆 过 程 ， 除 非 在 加 密 和 签名 中 采用 了 不 同 的 密 钥 ， 和 否则 攻击 是 不 可 避 
免 的 。 

因此 ， 重 要 的 是 从 整体 上 研究 一 个 系统 ， 而 不 应 局 限于 系统 的 一 部 分 。 好 的 公开 密 钥 协 
议 应 设计 成 任何 一 方 都 不 能 解密 其 他 方 产生 的 任何 消息 。 对 等 证 明 协 议 就 是 一 个 很 好 的 例子 
(参见 5.2 7). 
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19.2 背包 算法 


公开 密 钥 加 密 的 第 一 个 算法 是 由 Palph Merkle 和 Martin Hellman 开发 的 背包 算 
ws) 。 它 只 能 用 于 加 密 ， 后 来 Adi Shamir 将 它 改进 使 之 也 能 用 于 数字 签名 525。 背包 
算法 的 安全 性 起 源 于 背包 难题 ， 它 是 一 个 NP 完全 问题 。 尽 管 这 个 算法 后 来 发 现 是 不 安全 
的 ， 但 由 于 它 证 明了 如 何 将 NP 完全 问题 用 于 公开 密 钥 密码 学 ， 所 以 很 值得 研究 。 

背包 问题 描述 起 来 很 简单 。 给 定 一 堆 物 品 ， 每 个 重量 不 同 ， 能 否 将 这 些 物品 中 的 几 件 放 
入 一 个 背包 中 使 之 等 于 一 个 给 定 的 重量 ? 更 公式 化 的 描述 : 给 定 一 系列 值 M ，M ，… 
M, 和 一 个 和 S， 计 算 b;， 使 之 满足 : 

S = bM, +b:M, + +b,M, 
b; 的 值 可 为 0 或 1，1 表示 这 个 物品 在 背包 中 ，0 表示 不 在 。 

例如 ， 这 些 物品 可 能 分 别 重 为 1、5、6、11、14、20， 可 以 用 5、6 和 11 组 装 一 个 重 为 
22 的 背包 。 而 要 组 装 一 个 重 为 24 的 背包 则 是 不 可 能 的 。 一 般 来 说 ， 解 决 这 个 问题 所 需 的 时 
间 似 乎 会 随 着 堆 中 物品 个 数 的 增加 呈 指 数 增长 。 

Merkle-Hellman 背包 算法 的 思想 是 将 消息 编码 为 背包 问题 的 解 。 明 文 分 组 长 度 等 于 堆 
中 物品 个 数 ， 且 明文 位 与 5 的 值 相对 应 ， 密 文 是 计算 得 到 的 和 值 。 图 19-1 给 出 了 一 段 用 例 
子 中 的 背包 问题 来 加 密 的 明文 。 


明文 : 1110 01 010110 000000 011000 
背包 : 156111420 156111420 156111420 156111420 
FEM: 1+5+6+20= 5+11+14= O= 5+6= 

32 30 0 11 








图 19-1 背包 算法 加 密 


奥妙 在 于 实际 上 存在 两 类 不 同 的 背包 问题 ， 一 类 在 线性 时 间 内 可 解 ， 而 另 一 类 不 能 。 易 
解 的 背包 问题 可 以 修改 成 难 解 的 背包 问题 。 公 开 密 钥 使 用 难 解 的 背包 问题 ， 它 可 很 容易 地 用 
来 加 密 明 文 但 不 能 用 来 解密 密 文 。 私 人 密 钥 用 易 解 的 背包 问题 ， 它 给 出 一 个 解密 的 简单 方 
法 。 不 知道 私人 密 钥 的 人 要 破译 密 文 就 不 得 不 解 一 个 难 的 背包 问题 。 


19.2.1 超 递 增 背 包 


什么 是 易 解 的 背包 问题 ?如果 重量 的 序列 是 一 个 超 递增 序列 〈Superincreasing sequence) , 
那么 相应 的 背包 问题 易 求 解 。 超 递增 序列 是 这 样 一 个 序列 ， 它 的 每 一 项 都 大 于 它 之 前 所 有 项 
之 和 。 例 如 {1，3，6，13，27，52} 是 一 个 超 递增 序列 ， 而 (1, 3, 4, 9, 15, 25} W 
不 是 。 

超 递 增 背包 (superincreasing knapsack) 问题 的 解 很 容易 找到 。 计 算 其 总 重量 并 与 序列 
中 最 大 的 数 比 较 ， 如 果 总 重量 小 于 这 个 数 ， 则 它 不 在 背包 中 。 如 果 总 重量 大 于 这 个 数 ， 则 它 
在 背包 中 ， 背 包 重 量 减 去 这 个 数 ， 进 而 考查 序列 中 下 一 个 最 大 的 数 ， 重 复 直 到 结束 。 如 果 总 
重量 减 为 零 ， 那 么 有 一 个 解 ; 和 否则， 无 解 。 

例如 ， 考 查 总 重量 为 70 的 一 个 背包 ， 超 递增 重量 序列 为 {2，3，6，13，27，52}。 最 
大 的 重量 52， 小 于 70， 所 以 52 在 背包 中 。70 减 去 52 剩 18， 下 一 个 重量 27 比 18 大 ， 所 以 
27 不 在 背包 中 。 再 下 一 个 重量 13 小 于 18， 所 以 13 在 背包 中 。 从 18 PRA 13 剩 5， 再 下 一 
个 重量 6 比 5 大 ， 所 以 6 不 在 背包 中 。 继 续 这 个 过 程 将 得 出 2 和 3 都 在 背包 中 ， 总 重量 减 为 
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0， 表 明 已 求 出 一 个 解 。 如 果 这 是 一 个 Merkle-Hellman 背包 加 密 分 组 ， 那 么 对 密 文 70 的 解 
为 110101。 

非 超 递增 (或 一 般 ) 的 背包 是 困难 的 问题 ， 它 们 没有 快速 算法 。 要 决定 哪 一 项 在 背包 中 
的 唯一 方法 是 依次 测试 所 有 解 直到 你 得 到 正确 的 解 为 止 。 考 虑 了 各 种 试探 法 后 ， 最 快 的 算法 
仍 随 背包 中 物品 数目 的 增长 而 呈 指 数 增长 。 向 重量 序列 中 增加 一 项 ， 将 花 两 倍 的 时 间 找 出 其 
解 。 这 远 比 超 递增 背包 问题 困难 ， 对 于 后 者 ， 当 你 加 入 一 项 到 序列 中 ， 求 解 只 需 再 进行 一 次 
运算 即 可 。 

Merkle-Hellman 算法 就 是 利用 了 这 个 性 质 。 私 人 密 钥 是 一 个 超 递增 背包 问题 的 重量 序 
列 。 公 开 密 钥 是 有 相同 解 的 普通 背包 问题 的 重量 序列 。Merkle 和 Hellman 设计 了 一 种 方法 
可 将 超 递增 背包 问题 转化 为 普通 的 背包 问题 ， 他 们 用 模 运 算 来 完成 此 变化 。 


19.2.2 由 私人 密 钥 产生 公开 密 钥 


本 书 不 打算 深入 到 数论 中 ， 只 简单 说 明 该 算法 如 何 工作 : 为 了 获得 一 个 普通 的 背包 序 
列 ， 取 一 个 超 递 增 序列 ， 比 如 (2, 3, 6, 13, 27, 52}, Hn 去 乘 所 有 的 项 ， 再 用 m 做 模 
数 进行 模 运算 。 这 个 模 数 应 比 序列 中 所 有 数 的 和 大 ， 比 如 105。 乘 数 应 与 序列 中 的 任何 一 个 
数 没有 公 因 子 ， 比 如 31。 那 么 ， 一般 的 背包 序列 为 : 

2 X 31 mod 105 = 62 
3 X 31 mod 105 = 93 
6 X 31 mod 105 = 81 
13 X 31 mod 105 = 88 
27 X 31 mod 105 = 102 
52 X 31 mod 105 = 37 
因而 ， 得 到 的 背包 是 (62, 93, 81, 88, 102, 37}, 
超 递增 背 包 序列 就 是 私人 密 钥 ， 而 得 到 的 背包 序列 就 是 公开 密 钥 。 


19.2.3 me 


要 加 密 一 个 二 进 制 消息 ， 首 先 将 它 分 成 长 度 等 于 背包 序列 中 项 数 的 许多 分 组 。 然 后 ， 用 1 
表示 该 项 存在 ， 用 0 表示 该 项 不 在 其 中 ， 计 算 背 包 的 总 重量 。 对 所 有 分 组 都 重复 这 个 运算 。 
例如 ， 如 果 消 息 是 二 进 制 数 011000110101101110， 采 用 上 面 的 背包 加 密 过 程 如 下 : 
消息 = 011000 110101 101110 
011000 对 应 93 +81 = 174 
110101 对 应 62 +93 +88 +37 = 280 
101110 对 应 62 十 81 十 88 十 102 = 333 
密 文 为 : 174，280，333。 


19.2.4 解密 


消息 的 合法 接收 者 知道 私人 密 钥 : 原始 的 超 递 增 背 包 、 用 于 把 它 转 化 成 一 般 背 包 的 nn 和 
m 的 值 。 为 解密 消息 ， 接 收 者 必须 首先 计算 出 n "以 满足 nxXn '=1Cmod m), Hn ‘Km 
乘 密 文 值 的 每 项 ， 然 后 用 私人 背包 对 它 进行 划分 就 可 获得 明文 。 

在 本 例 中 ， 超 递增 背包 为 {2，3，6，13，27，52}, m#F 105, n% F 31， 密 文 消息 
为 174，280，333。n-! 等 于 61， 所 以 密 文 值 必须 用 61 模 105 R. 
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174X61 mod 105=9=3+6 对 应 011000 
280X61 mod 105=70=2+3+13+52 对 应 110101 
333X61 mod 105=48=2+6+13+27 对 应 101110 


恢复 出 的 明文 为 011000 110101 101110, 


19.2.5 实际 的 实现 方案 


要 解决 仅 有 6 项 的 背包 序列 问题 不 是 很 难 ， 甚 至 对 非 超 递增 序列 也 是 如 此 。 实 际 使 用 的 
背包 算法 至 少 应 该 包含 250 项 。 在 超 递增 背包 中 每 项 值 一般 为 200 一 400 位 。 模 数 一 般 为 
100 一 200 位 。 该 算法 在 实际 使 用 中 用 随机 序列 发 生 器 来 产生 这 些 值 。 

对 这 样 的 背包 ， 试 图 用 穷 举 攻击 来 破译 是 无 用 的 。 即 使 一 台 计 算 机 每 秒 能 运行 100 万 
次 ， 要 试 完 所 有 可 能 的 背包 值 也 需要 10“ 年 。 即 使 用 100 万 台 计 算 机 并 行 工作 ， 在 太阳 毁灭 
之 前 也 不 能 解决 这 个 问题 。 


19.2.6 背包 的 安全 性 


事实 上 ， 不 是 100 万 台 计 算 机 而 是 两 个 密码 学 家 破译 了 背包 密码 系统 。 首 先 可 恢复 出 明 
文 的 一 位 "5 。 然 后 ，Shamir 指出 某 些 情况 下 背包 算法 能 被 破译 。 还 有 其 他 一 些 结 
FREE TONAL ,但 没有 人 能 破译 一 般 的 Merkle-Hellman 系统 。 最 后 Shamir 和 
Zippel 9 发现 了 变换 中 的 缺陷 ， 即 可 以 允许 它们 从 普通 的 背包 中 重 构 出 超 递 增 背包 。 
关于 这 个 问题 完整 的 讨论 超出 了 本 书 的 范围 ， 精 辟 的 总 结 可 在 文献 [1233、1244] 中 找到 。 
在 一 次 会 议 上 ， 提 出 了 该 结果 ， 并 用 Apple lA MBB A TA E BE 


19.2.7 ”背包 变型 


自从 最 初 的 Merkle-Hellman 方案 被 破译 后 ， 又 有 许多 其 他 的 背包 系统 被 提出 : SKE 
代 背 包 、Graham-Shamir 背包 等 。 这 些 背 包 中 的 大 多 数 都 被 用 同样 的 密码 分 析 方 法 攻破 了 ， 
少数 则 采用 更 高 级 的 分 析 方 法 ?269.921.15.919.920,922,366.254,263.255] 。 对 这 些 系 统 好 的 综述 和 它们 
的 密码 分 析 能 从 文献 [267、479、257、268] 中 找到 。 

利用 类 似 于 背包 密码 系统 思想 提出 的 其 他 密码 算法 也 被 破译 了 。Lu-Lee 密码 系统 5 23] 
在 文献 [20, 614, 873] 中 被 破译 ,文献 [507] 中 的 修改 版 也 被 破译 了 mW”” 。 对 Goodman- 
McAuley 密码 系统 的 攻击 可 从 文献 [646、647、267、268] 中 找到 。Pieprzyk 系统 249 能 用 
相似 的 攻击 方法 破译 。 基 于 模 背 包 的 Niemi 密码 系统 5 在 文献 [345、788] 中 被 破译 。 一 
种 新 的 多 级 背包 5 还 没有 被 破译 ， 但 我 对 此 并 不 乐观 。 文 献 [294] 中 还 给 出 了 其 他 变型 。 

还 有 一 种 背包 变型 ， 至 今 仍 然 是 安全 的 〈Chor 一 Rivest 背包 659 ， 尽 管 有 “特殊 的 攻 
击 ”7431)， 但 其 计算 量 太 大 以 至 它 远 没有 这 里 讨论 的 算法 有 用 。 有 一 种 称 为 Powerline Sys- 
tem 的 变型 是 不 安全 的 [8 。 更 重要 的 是 ， 考 虑 到 其 他 变型 如 此 容易 攻破 ， 对 它们 寄 于 信赖 
似乎 是 不 可 取 的 。 


19.2.8 专利 


最 初 的 Merlde-Hdlman 算法 在 美国 "2 和 世界 各 国都 申请 了 专利 〈 见 表 19-1) 。 公 开 密 
钥 协 会 (PKP) 认可 了 此 专利 和 其 他 公开 密 钥 专利 〈 参 见 25. 5 节 )。 美 国 专利 于 1997 年 8 
月 19 日 到 期 。 





334 “。 第 三 部 分 密码 算法 


R 19-1 不 同 国家 的 Merkle-Hellman 背包 算法 专利 














国家 专利 号 发 布 日 期 国家 专利 号 发 布 日 期 
比利时 871039 1979/4/5 德国 2843583 1982/6/3 
荷兰 7810063 1979/4/10 德国 2857905 1982/7/15 
英国 2006580 1979/5/2 加 拿 大 1128159 1982/7/20 
德国 2843583 1979/5/10 英国 2006580 1982/8/18 
瑞典 7810478 1979/5/14 瑞士 63416114 1983/1/14 
法 国 2405532 1979/6/8 意大利 1099780 1985/9/28 

















19.3 RSA 算法 


Merkle 背包 算法 出 现 后 不 入 ， 出 现 了 第 一 个 较 完善 的 公开 密 钥 算法 RSA， 它 既 能 
用 于 加 密 也 能 用 于 数字 签名 5 .2332 。 在 已 提出 的 公开 密 钥 算法 中 ，RSA 是 最 容易 理解 
和 实现 的 (Martin Gardner 在 《Scientific American》[59 的 数学 游戏 栏 中 发 表 对 这 个 算法 
的 较 早 描述 )。 这 个 算法 也 是 最 流行 的 。RSA 以 它 的 三 个 发 明 者 Ron Rivest, Adi Shamir 
和 Leonard Adleman 的 名 字 命 名 。 该 算法 已 经 经 受 住 了 多 年 深入 的 密码 分 析 ， 虽 然 密码 
分 析 者 既 不 能 证 明 也 不 能 否定 RSA 的 安全 性 ， 但 这 恰恰 说 明 该 算法 有 一 定 的 可 信和 度 。 

RSA 的 安全 基于 大 数 分 解 的 难度 。 其 公开 密 钥 和 私人 密 钥 是 一 对 大 素数 (100 一 200 个 
十 进 制 数 或 更 大 ) 的 函数 。 从 一 个 公开 密 铀 和 密 文中 恢复 出 明文 的 难度 等 价 于 分 解 两 个 大 素 
数 之 积 。 

为 了 产生 两 个 密 钥 ， 选 取 两 个 大 素数 p 和 g。 为 了 获得 最 大 程度 的 安全 性 ， 两 数 的 长 度 
一 样 。 计 算 乘积 

n= pq 
然后 随机 选取 加 密 密 钥 e, 使 。 和 (p 一 1)(g 一 1) 互 素 。 最 后 用 欧 几 里 得 扩展 算法 计算 解密 
密 钥 4， 以 满足 
ed =1 mod (p— 1)(g—1) 
则 
d=e'mod ((p—1)(q—1)) 

注意 d 和 n 也 互 素 。e 和 nn EAR, d 是 私人 密 钥 。 两 个 素数 p 和 9g 不 再 需要 ， 它 
们 应 该 被 舍弃 ， 但 绝 不 可 泄露 。 

加 密 消息 m 时 ， 首 先 将 它 分 成 比 n 小 的 数据 分 组 (采用 二 进 制 数 ， 选 取 小 于 nn 的 2 的 
RAMA). EWER., WR p 和 4g 为 100 位 的 素数 ， 那 么 将 有 200 位 ， 每 个 消息 分 组 m 
应 小 于 200 位 长 〈 如 果 你 需要 加 密 固定 的 消息 分 组 ， 那 么 可 以 在 它 的 左边 填充 一 些 0 并 确保 
该 数 比 小 )。 加 密 后 的 密 文 <， 将 由 相同 长 度 的 分 组 c; 组 成 。 加 密 公式 简化 为 : 

ci = m; (mod n) 
解密 消息 时 ， 取 每 一 个 加 密 后 的 分 组 c; 并 计算 : 
m; = cf (mod n) 
由 于 r 
cf = (mt)? = m = mD m X mD = m,X1 =m, 全 部 (mod n) 


这 个 公式 能 恢复 出 明文 ， 总 结 见 表 19-2. 
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表 19-2 RSA 解密 
PEER: n: 两 素数 p Ala 的 乘积 (p 和 9g 必须 保密 ) 
AE e: 与 (p 一 1)(g 一 1) HE 
AA d; e '((mod (p—1)(q-1))) 
加 密 c=m* mod n 
解密 m=c4 mod n 


消息 用 4 加 密 就 像 用 e 解密 一 样 容易 。 这 里 不 引入 数论 来 证 明 这 样 做 为 什么 可 行 ， 现 在 
的 许多 密码 学 教材 中 都 包括 了 这 些 细节 。 

举 一 个 简单 的 例子 可 能 更 清楚 地 说 明 这 一 点 。 如 果 p= 二 47，g 二 71， 那 么 

n = pq = 3337 
加 密 密 钥 e 必须 与 (p 一 1)(g 一 1) 一 46X70 王 3220 没有 公 因 子 。 
随机 选取 e， 如 79， 那 么 
d = 79` mod 3220 = 1019 

该 数 用 扩展 的 欧 几 里 得 算法 (参见 11. 3 节 ) 计算 。 公 开 e 和 nn， Hd RR, EF p fila. 

为 了 加 密 消 息 

m = 6882326879666683 

首先 将 其 分 成 小 的 分 组 。 在 此 例 中 ， 按 3 位 数字 一 组 就 可 以 进行 加 密 。 这 个 消息 将 分 成 6 个 
分 组 m， 进 行 加 密 : 


m, = 688 
mz = 232 
ms = 687 
m, = 966 
ms = 668 
mse = 003 


第 一 个 分 组 加 密 为 : 
688” mod 3337 = 1570 = c; 
对 随后 的 分 组 进行 同样 的 运算 产生 加 密 后 的 密 文 
c = 1570 2756 2091 2276 2423 158 
解密 消息 时 需要 用 解密 密 钥 1019 进行 相同 的 指数 运算 。 因 而 
1570" (mod 3337) = 688 = m, 
消息 的 其 余部 分 可 用 同样 的 方法 恢复 出 来 。 


19.3.1 RSA 的 硬件 实现 


关于 RSA 的 硬件 实现 这 个 主题 已 经 在 文献 [L1314、1474、1456、1316、1485、874、1222、 
87, 1410, 1409, 1343, 998, 367, 1429, 523, 772] 中 都 有 介绍 。 较 好 的 综述 性 文章 见 文献 
[258、872]。 已 经 制造 出 了 许多 实现 RSA 加 密 的 芯片 Gal0.252.1101.1317.874.69,737.594.1275\1563.509\1223] 。 
目前 正在 使 用 的 部 分 RSA 芯片 如 表 19-3 所 示 55 59 。 在 开放 市 场 内 不 是 所 有 芯片 都 能 
买 到 。 
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R 19-3 已 有 的 RSA 芯片 





公司 时 钟 速度 sizma ORME 技术 每 个 芯片 的 位 晶体 管 数目 
的 时 钟 周期 

Alpha Techn. 25MHz 13K . 98M 2 微米 1024 180 000 
AT&T 15MHz 19K .4M 1.5 微米 298 100 000 
British Telewm 10MHz 5.1K 1M 2.5 微米 256 一 
Business Sim. Ltd. 5MHz 3. 8K .67M 门 阵列 32 

Calmos Syst. Inc. 20MHz 28K . 36M 2 微米 593 95 000 
CNET 25MHz 5. 3K 2. 3M 1 微米 1024 100 000 
Cryptech 14MHz 17K .4M 门 阵列 120 33 000 
Cylink 30MHz 6. 8K 1.2M 1.5 微米 1024 150 000 
GEC Marconi 25MHz 10. 2K . 67M 1. 4 微米 512 160 000 
Pijnenbuig 25MHz 50K . 256M 1 微米 1024 400 000 
Sandia 8MHz 10K .4M 2 微米 272 86 000 
Siemens 5MHz 8.5K .3M 1 微米 512 60 000 


19. 3.2 RSA 的 速度 


硬件 实现 时 ，RSA 比 DES 慢 大 约 1000 倍 。 最 快 的 具有 512 位 模 数 的 VLSI 硬件 实现 的 
吞吐 量 为 64K 位 / 秒 '**]。 也 有 一 些 实现 1024 位 RSA 的 加 密 芯 片 。 现 今 设计 的 具有 512 位 
模 数 的 芯片 可 达到 1Mb/s， 该 芯片 在 1995 年 制 成 。 在 智能 卡 中 已 大 量 实现 了 RSA， 这 些 实 
现 都 较 慢 。 

软件 实现 时 ，DES KH k RSA 快 100 倍 。 这 些 数 字 会 随 着 技术 发 展 而 发 生 相 应 的 变 
化 , 但 RSA 的 速度 将 永远 不 会 达到 对 称 算法 的 速度 。 表 19-4 给 出 了 RSA 软件 速度 的 
a Ee 


R 19-4 具有 8 位 公开 密 钥 的 RSA 对 于 不 同 长 度 模 数 的 加 密 速度 〈 在 SPARC IH) 





512 位 768 位 1024 位 
加 密 0. 03 秒 0. 05 秒 0. 08 秒 
解密 0. 16 秒 0.48 秒 0.93 & 
签名 0. 16 秒 0. 52 # 0. 97 秘 
验证 0. 02 秒 0. 07 # 0. 08 秒 


19.3.3 软件 加 速 


如 果 你 很 聪明 地 选择 一 个 e 值 ，RSA 加 密 速度 将 快 很 多 。 最 常用 的 三 个 e 值 是 3、17 和 
65537 (216 十 1) (65537 的 二 进 制 表示 中 只 有 两 个 1， 所 以 它 只 需要 17 次 乘法 来 实现 指数 运 
算 ) 。X. 509 中 建议 采用 65537, PEM 中 建议 采用 3, PKCSH1 (参见 24.14 节 ) 中 
建议 采用 3 或 655375251 。 即 便 是 一 组 用 户 使 用 同样 的 e 值 ， 采 用 这 三 个 值 中 的 任何 一 个 都 
不 存在 安全 问题 (建议 你 用 随机 数 填充 消息 参见 以 后 的 章节 ) 。 

UK OAR ST pAg, URU d mod (p—1), q 'd mod (g—1), mod p 这 类 
MB. IAH t ERR EE we AEEA A R A es 7 E E ROO, ERA A 
人 密 钥 和 公开 密 钥 中 计算 出 来 。 
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19.3.4 RSA 的 安全 性 


RSA 的 安全 性 完全 依赖 于 分 解 大 数 的 难度 。 从 技术 上 来 说 这 是 不 正确 的 ， 这 只 是 一 种 
推测 。 从 数学 上 从 未 证 明 过 需要 分 解 n 才能 从 c 和 e 中 计算 出 m。 用 一 种 完全 不 同 的 方法 来 
对 RSA 进行 密码 分 析 还 只 是 一 种 想象 。 如 果 这 种 新 方法 能 让 密码 分 析 者 推算 出 4， 也 可 作 
为 分 解 大 数 的 一 种 新 方法 。 我 对 此 还 不 甚 担忧 。 

也 可 通过 猜测 (p 一 1)(g 一 1) 的 值 来 攻击 RSA。 但 这 种 攻击 没有 分 解 n 容易 。 

对 那些 持 极端 怀疑 态度 的 人 来 说 ， 有 些 RSA 的 变型 已 被 证 明和 大 数 分 解 同样 困难 ( 参 
见 19. 5 节 )。 也 可 参见 文献 [36]， 它 给 出 了 从 RSA 加 密 的 密 文中 恢复 某 一 位 与 恢复 出 整个 
文本 同样 困难 这 一 结论 。 

分 解 n 是 最 显而易见 的 攻击 方法 。 敌 方 手中 有 公开 密 钥 e 和 模 数 nw， 要 找到 解密 密 钥 d, 
他 们 就 必须 分 解 nx。11. 4 节 讨 论 了 分 解 技术 的 现状 。 目 前 ，129 位 十 进 制 数 字 的 模 数 是 能 分 
解 的 临界 数 。 所 以 ，n 应 该 大 于 这 个 数 。 参 见 7. 2 节 关 于 公开 密 钥 长 度 的 讨论 。 

对 密码 分 析 者 而 言 ， 他 有 可 能 尝试 每 一 种 可 能 的 4， 直到 获得 正确 的 一 个 。 这 种 穷 举 攻 
击 还 没有 试图 分 解 n EA 

随 着 时 间 的 推移 ， 人 们 声称 已 经 找到 了 破译 RSA 的 简单 方法 ， 但 直到 现在 这 些 宣称 还 
站 不 住 脚 。 举 例 来 说 ，1993 年 William Payne 的 论文 草案 中 提出 了 一 种 基于 费 尔 马 小 定理 的 
方法 5 。 很 不 幸 ， 它 的 速度 仍 比 分 解 模 数 慢 。 

还 有 其 他 的 担心 。 大 多 数 用 于 计算 素数 p Aa 的 算法 是 有 概率 的 ,假如 zp 或 g AER 
数 又 如 何 呢 ? 很 好 ， 你 可 以 首先 找 出 这 件 事 发 生 尽 可 能 小 的 概率 。 如 果 它 不 是 素数 ， 这 就 意 
味 着 加 密 和 解密 均 不 能 正确 地 工作 一 一 你 马上 就 可 放弃 它 。 有 些 称 为 Carmichael 的 数 可 以 
使 某 些 概率 算法 检测 不 出 它 的 素数 性 。 它 们 非常 少 ， 但 它们 是 不 安全 的 。 老 实说 ， 我 对 
此 并 不 担心 。 





19.3.5 对 RSA 的 选择 密 文 攻击 


有 些 攻 击 专门 针对 RSA 的 实现 。 它 们 不 攻击 基本 的 算法 ， 而 是 攻击 协议 。 仅 使 用 RSA 
而 不 重视 它 的 实现 是 不 够 的 。 实 现 细节 也 很 重要 。 
情况 1: Eve 在 Alice 的 通信 过 程 中 进行 窃听 ， 设 法 成 功 选取 一 个 用 她 的 公开 密 钥 加 密 
的 密 文 <。Eve 想 读 出 消息 。 从 数学 上 讲 ， 她 想得到 m, AE: 
m= 
为 了 恢复 m， 她 首先 选取 一 个 随机 数 +， 满 足 r 小 于 n。 她 得 到 Alice 的 公开 密 钥 e， 然 
后 计算 : 
X=r modn 
y= xc mod n 


"mod n 


t=r 
如 果 =r mod 2， 那么 >= 王 ze mod n, 
现在 ，Eve 让 Alice 用 她 的 私人 密 钥 对 y 签名 ， 以 便 解 密 y (Alice 必须 对 消息 ， 而 非 消 
息 的 散 列 值 签 名 )。 记 住 ，Alice 以 前 从 未 见 过 y。Alice 发 送 给 Eve: 
u = y mod n 


现在 Eve 计算 : 


tu mod n = r'y* mod n = r' xtc? mod n = cf mod n = m 
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Eve 现在 就 获得 了 m。 

情况 2: Trent 是 一 个 公开 的 计算 机 公证 人 。 如 果 Alice 打算 让 一 份 文件 被 公证 ， 她 将 
ERR Trent, Trent 将 它 用 RSA 进行 数字 签名 ， 然 后 发 送 回来 〈 这 里 没有 使 用 单 向 散 列 
函数 ，Trent 用 他 的 私人 密 钥 加 密 整 个 消息 ) 。 

Mallory 想 让 Trent 对 一 个 Trent 本 来 不 愿 签名 的 消息 签名 。 或 许 它 有 一 个 假 的 时 间 标 
记 ， 或 许 是 另外 的 人 所 为 。 不 管 是 何 种 理由 ， 如 果 人 允许 Trent 选择 的 话 ， 他 是 绝 不 会 对 它 签 
名 的 。 让 我 们 将 这 个 消息 称 作为 mm 。 

首先 ，Mallory 选取 任意 一 个 值 zx， 计算 y= r mod n。 他 能 很 容易 地 获得 e， 这 是 
Trent 的 公开 密 钥 ， 必 须 公 开 以 便 用 来 验证 他 的 签名 。 然 后 ， 他 计算 m=ym' mod n, FH 
m 发 送 给 Trent 并 让 Trent H EZZ. Trent ik M mod n, HE Mallory 计算 (m* mod 
nx ! mod n， 它 等 于 ni mod n, Æ m WEA. 

实际 上 ，Mallory 可 以 用 多 种 方法 来 完成 相同 的 事 "*3“3%。 他 们 利用 的 缺陷 都 是 指数 
运算 保持 了 输入 的 乘积 结构 ， 即 

(zm)? mod n = xm’ mod n 
情况 3: Eve 想 让 Alice 对 ms 签名 。 她 产生 两 份 消息 mi. m, WE 
m, = m m,(mod n) 
如 果 她 能 让 Alice 对 mMı 和 mz 签名 ’ 就 能 计算 m3: 
mi = (m? mod n) (mi mod n) 

WE: 绝对 不 要 对 陌生 人 提交 给 你 的 随机 消息 进行 签名 。 记 住 ， 要 先 利用 一 个 单 向 散 列 

函数 对 消息 进行 散 列 运算 。ISO 9796 分 组 格式 可 防止 这 种 攻击 。 


19.3.6 对 RSA 的 公共 模 数 攻 击 


有 一 个 可 能 的 RSA 实现 ， 每 个 人 具有 相同 的 nw 值 ， 但 有 不 同 的 指数 e 和 d。 不 幸 的 是 ， 
这 样 做 是 不 行 的 。 最 显而易见 的 问题 是 ， 假 如 同一 个 消息 用 两 个 不 同 的 指数 〈 模 数 相 同 ) 加 
密 ， 且 这 两 个 指数 又 互 素 ( 它 们 在 一 般 情 况 下 会 如 此 )。 那 么 无 需 任何 一 个 解密 指数 就 可 以 
恢复 出 明文 547 。 
设 m 是 明文 消息 ， 两 个 加 密 密 钥 为 e: 和 e,， 共 同 的 模 数 为 xn。 两 个 密 文 为 : 
c = m^ mod n 
ta = mè mod n 
密码 分 析 者 知道 %、e, er. cy 和 c:， 下 面 是 他 如 何 恢复 出 m 的 。 
由 于 e fle 互 素 ， 由 扩展 欧 几 里 得 算法 能 找 出 r+ 和 s， 满足: 
re, + sen, = 1 
假定 是 负数 Or 或 中 有 一 个 必须 是 负数 ， 此 处 假设 它 为 负数 )， 那 么 再 用 欧 几 里 得 算 
法 可 计算 cr'， 然 后 有 : 
(cj!) ” X c =m modn 
对 这 类 系统 还 有 两 个 更 巧妙 的 攻击 方法 。 一 种 攻击 是 用 概率 方法 来 分 解 +"， 男 外 一 种 是 
利用 一 种 确定 算法 而 非 利 用 分 解 模 数 来 计算 私人 密 钥 。 两 种 攻击 在 文献 [449] 中 做 了 详细 
的 描述 。 
记 住 : 不 要 在 一 组 用 户 之 间 共 享 n。 


19. 3.7 对 RSA 的 低 加 密 指数 攻击 
在 RSA 加 密 和 数字 签名 验证 中 ， 如 果 选 取 了 较 低 的 。 值 可 以 加 快速 度 ， 但 这 是 不 安全 
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的 5 。 如 果 你 采用 不 同 的 RSA 公开 密 钥 和 相同 的 e 值 ， 对 ele 十 1)/2 个 线性 相关 的 消息 加 
密 ， 就 存在 一 种 能 攻击 该 系统 的 方法 。 如 果 消 息 比 较 短 ， 或 者 消息 不 相关 ， 就 不 存在 这 个 问 
题 。 如 果 消 息 相 同 ， 那 么 e 个 消息 就 够 了 。 阻 止 该 攻击 最 简单 的 方法 是 用 独立 随机 值 填 充 消 
息 。 这 也 能 保证 m mod nÆm. RSA 的 大 多 数 实 现 中 (例如 ，PEM 和 PGP)， 都 是 这 样 
做 的 。 

记 住 : 在 加 密 前 要 用 随机 值 填充 消息 ， 以 确保 mr 和 的 大 小 一 样 。 


19.3.8 Xf RSA 的 低 解密 指数 攻击 


Michael Wiener 给 出 了 另外 一 种 攻击 ， 如 果 d 达到 nn 的 1/4 大 小 ， 且 e 比 n 小， 那么 该 
方法 可 以 恢复 A), ale Ald 随机 选择 ， 则 该 攻击 很 少 发 生 ; ine MAR), WEA 
可 能 发 生 。 

WÈ: 选择 大 的 do 


19.3.9 经 验 


根据 这 些 成 功 的 攻击 "“" ，Jadith Moore 列 出 使 用 RSA 的 一 些 限制 : 
。 知道 了 对 于 一 ee 个 加 /解密 密 钥 指数 对 ， 攻 击 者 就 能 分 解 这 个 模 数 。 
。 知道 了 对 于 一 个 给 定 模 数 的 一 个 加 /解密 密 钥 指 数 对 ， 使 攻击 者 无 需 分 解 n 就 可 以 计 


HR. 

。 在 通信 网 络 中 ， 利 用 RSA 的 协议 不 应 该 使 用 公共 模 数 〈 这 一 点 从 前 述 两 点 即 可 看 
出 ) 。 

。 消息 应 用 随机 数 填充 以 避免 对 加 密 指 数 的 攻击 。 

。 解密 指数 应 该 大 。 


记 住 ， 仅 有 一 个 安全 的 密码 算法 是 不 够 的 。 整 个 密码 系统 必须 是 安全 的 ， 密 码 协议 也 必 
须 是 安全 的 。 如 果 这 三 个 方面 中 任意 一 个 环节 出 了 问题 ， 整 个 系统 就 是 不 安全 的 。 


19.3.10 ”对 RSA 的 加 密 和 签名 攻击 


在 对 一 个 消息 加 密 之 前 进行 签名 很 有 意义 (参见 2.7 节 ), 但 不 是 所 有 人 都 这 样 做 。 有 

一 种 攻击 在 签名 前 对 加 密 协 议 进行 攻击 号。 
Alice 想 给 Bob 发 一 条 消息 。 首 先 ， 她 用 Bob 的 公开 密 钥 加 密 该 消息 ， 然 后 用 自己 的 私 
人 密 钥 对 它 签 名 。 加 密 并 签名 的 消息 为 : 
(ms mod nz)“4 mod na 

下 面 看 看 Bob 如 何 宣称 Alice 发 送 给 他 的 是 m' 而 不 m。 因 为 Bob 知道 ns 的 分 解 〈 是 他 

的 模 数 )， 所 以 他 能 计算 出 针对 ns 的 离散 对 数 。 因 此 ， 他 要 做 的 只 是 找到 一 个 xz 满足 : 
m'* = m mod ng 

然后 ， 假 如 他 能 将 zes 作为 他 新 的 公开 指数 并 保留 ns 为 其 模 数 时 ， 他 就 能 宣称 Alice 已 经 
用 他 的 新 指数 向 他 发 送 了 加 密 消息 m'。 

在 某 些 情 况 下 ， 这 是 一 个 特别 有 威胁 的 攻击 。 注 意 ， 散 列 函 数 不 能 解决 这 个 问题 ,但 可 
以 迫使 每 一 个 用 户 采 用 固定 的 加 密 指数 。 


19.3.11 标准 
RSA 在 世界 上 许多 地 方 已 成 事实 上 的 标准 。ISO 几乎 (但 没有 明确 ) 已 指定 RSA 用 作 
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数字 签名 标准 。 在 ISO 9796 内 ，RSA 已 成 为 其 信息 附件 。 法 国 银 行 界 也 使 RSA 标准 
化 ,澳大利亚 也 是 如 此 "中 。 美 国 现在 还 没有 公开 密 钥 加 密 标准 ， 因 为 存在 NSA 和 专 
利 组 织 的 压力 。 许 多 美国 公司 都 采用 RSA 数据 安全 公司 编写 的 PKCS (参见 24. 14 节 )。 
ANSI 银行 标准 的 草案 也 利用 RSA“ 。 


19. 3. 12 专利 


RSA 算法 在 美国 申请 了 专利 "* ， 但 在 其 他 国家 无 专利 。PKP 注册 了 此 专利 和 其 他 公 
开 密 钥 密码 专利 〈 参 见 25. 5 节 )。 美 国 专利 将 于 2000 年 9 月 20 日 到 期 。 


19.4 Pohlig-Hellman 算法 


Pohlig-Hellman MAKRU KMF RSA， 它 不 是 一 种 对 称 算法 ， 因 为 加 密 、 解 密 采 
用 不 同 的 密 钥 。 它 也 不 是 一 种 公开 密 钥 方案 ， 因 为 密 钥 很 容易 相互 推导 出 。 它 的 加 密 密 钥 和 
解密 密 钥 都 要 保密 。 
类 似 于 RSA， 有 : 
C= P* mod n 
P= C mod n 
其 中 ed=1 (mod 某 些 复杂 数 )。 
与 RSA 不 同 , nn 不 是 依据 两 个 大 素数 来 定义 的 ， 它 还 必须 作为 私人 密 钥 的 一 部 分 。 如 
果 某 人 有 e 和 nn， 他 就 能 计算 出 4。 如 果 不 知 道 e 或 4， 则 不 得 不 计算 : 
e = logpC mod n 


我 们 已 知道 这 是 一 个 难题 。 


专利 


Pohlig-Hellman 算法 在 美国 “” 和 加 拿 大 申请 了 专利 。PKP 注册 了 此 专利 和 其 他 公开 密 
HEA (参见 25.54). 


19.5 Rabin 算法 


Rabin 方案 528 20 的 安全 性 基于 求 合 数 的 模 平 方 根 的 难度 。 这 个 问题 等 价 于 因子 分 解 。 
下 面 是 该 方案 的 描述 。 
首先 选取 两 个 素数 p 和 gw， 两 个 都 同 余 3 模 4。 将 这 两 个 素数 作为 私人 密 钥 ，2? = pg E 
为 公开 密 钥 。 
加 密 一 个 消息 M (M 必须 小 于 n) 时 ， 只 需 计 算 : 
C = M modn 
解密 消息 一 样 容易 ， 但 稍微 麻烦 一 些 。 由 于 接收 者 知道 p 和 g， 所 以 可 以 用 中 国 剩 余 定 
理解 两 个 同 余 式 。 计 算 : 
mi = CH mod p 
ma = (p= CDA) mod p 
m, = cP mod p 
mi = (q—C") mod q 
然后 选择 整数 。a=d(a mod p) MBM b=plp ' mod gq)。4 个 可 能 的 等 式 为 : 
M, = (am, +bm;) mod n 
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M, = (am, +bm,) mod n 
Mi = (am, +bm;) mod n 
M, = (am, +bm,) mod n 
这 4 个 结果 Mi. M2. M: FIM, 中 之 一 等 于 M。 如 果 消 息 是 英语 文本 ， 很 容易 选择 正 
确 的 M;。 男 一 方面 ， 如 果 消息 是 一 个 随机 位 流 (比如 说 ， 密 钥 产 生 或 数字 签名 )， 就 没有 办 
法 决定 哪 一 个 M; 是 正确 的 。 解 决 这 个 问题 的 方法 是 在 消息 加 密 前 加 入 一 个 已 知 的 标题 。 





Williams 方案 


Hugh Williams 重新 定义 了 Rabin 方案 以 消除 其 缺陷 1。 在 他 的 方案 中 ，p 和 4g 这 样 
选取 : 
p= 3 mod 8 
q= 7 mod 8 


N= pq 
还 有 一 个 小 整数 S， 满 足 J(CS，N) 三 一 1(J 是 雅 可 比 符号 
开 。 私 人 密 钥 k 满足 : 





参见 11.3 W). NAS 


k=1/2X (1/4 X (p—- 1) X (q-D +1) 

为 了 加 密 消息 M， 计 算 oa 使 之 满足 JI(M，N)= (一 1)5 。 然 后 ， 计 算 M'=(S% XM) 

mod N。 类 似 于 Rabin FZ, C=M" mod N, c.=M' mod 2。 最 后 的 密 文 是 三 重组 : 
(Cyc) 9€2) 
解密 C 时 ， 接 收 者 利用 
CŒ =+ M"(mod N) 
计算 M 。M “的 符号 由 cs sa 最 后 
= (Sn X (— 1)" XM’) mod N 

ninccaee a ku: i oe eae, AS 
方 。 大 素数 必须 同 余 1 模 3， 和 否则 公开 密 钥 和 私人 密 钥 相同 。 更 好 的 是 ， 对 每 个 加 密 仅 有 唯 
一 的 解密 。 

Rabin 和 Williams 算法 在 证 明 其 安全 性 取决 于 大 数 因子 分 解 上 比 RSA 算法 有 优势 。 然 
而 ， 它 们 对 选择 密 文 攻击 是 不 安全 的 。 如 果 你 打算 在 攻击 者 能 攻击 的 地 方 〈 例 如 ， 在 数字 签 
名 算法 中 ， 攻 击 者 选择 签名 的 消息 的 地 方 ) 使 用 这 些 算法 ， 要 保证 在 签名 前 使 用 单 向 散 列 函 ， 
数 。Rabin 提出 了 另 一 种 抵抗 这 种 攻击 的 方法 : 在 每 条 消息 散 列 运算 和 签名 前 添加 一 个 不 同 
的 随机 串 。 不 幸 的 是 ,一旦 你 将 单 向 散 列 函数 添加 到 系统 中 ， 其 安全 性 将 不 再 依赖 于 因子 分 
解 ， 尽 管 添加 的 散 列 值 在 实际 意义 上 对 系统 没有 任何 削弱 。 

Rabin 算法 的 其 他 变型 见 文献 [972、909、696、697、1439、989)。 文 献 [866, 889] 
中 描述 了 二 维 变型 。 


19.6 ElGamal 算法 


ElGamal 算法 55559 既 可 用 于 数字 签名 又 可 用 于 加 密 ， 其 安全 性 依赖 计算 有 限 域 上 离散 
对 数 的 难度 。 
要 产生 一 对 密 钥 ， 首 先 选 择 素 数 p， 两 个 随机 数 g 和 xz，g 和 x 都 小 于 p， 然 后 计算 : 
y = g“ mod p 
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公开 密 钥 是 y、g 和 p、g 和 p 可 由 一 组 用 户 共享 。 私 人 密 钥 是 x。 


19.6.1 ElGamal 签名 


对 消息 M 签名 时 ， 首 先 选择 一 个 随机 数 &,，& 与 p 一 1 互 素 。 然 后 计算 
a = g* mod p 
利用 扩展 欧 几 里 得 算法 从 下 式 中 求 出 2: 
M = (xa +kb) mod (p— 1) 
签名 为 一 对 数 : a 和 0。 随机 数值 k 必须 保密 。 
为 了 验证 签名 ， 只 要 验证 : 
y‘a’ mod p = g” mod p 
每 个 ElGamal 签名 或 加 密 都 需要 一 个 新 的 & 值 ， 该 值 必须 随机 选取 。 假 如 Eve 曾 恢复 
过 Alice 使 用 过 的 一 个 &， 她 就 能 恢复 Alice 的 私人 密 钥 x。 假如 Eve 曾 用 同样 的 & 得 到 过 签 
名 或 加 密 的 两 个 消息 ， 甚 至 她 不 知道 消息 是 什么 ， 她 也 可 以 恢复 z。 
表 19-5 总 结 了 这 种 方法 。 
表 19-5 ElGamal 签名 
公开 密 钥 p: 素数 〈 可 由 一 组 用 户 共享 ) 
8 三 p (可 由 一 组 用 户 共享 ) 
y=g* (mod p) 
ARH zp 
签名 k: 随机 选择 ， 与 p 一 1 aR 
a (签名 ) =g* (mod p) 
b (%7) 满足 M= (ra+kb) mod (p 一 1) 
验证 如 果 y'a? (mod p) =g™ (mod p) 认可 签名 有 效 


例如 ， 选择 p=11 和 8 一 2， 私 人 密 钥 zx 一 8， 计 算 : 
y = g*(mod p) = 2° (mod 11) = 3 
公开 密 钥 是 y=3, g=2 和 p=11. 
为 鉴别 M=5， 首 先 选 择 随 机 数 kR=9, WE ged(9, 10)=1, HH: 
a = g'(mod p) = 2°(mod 11) = 6 
利用 欧 几 里 得 算法 求 5: 





M= (az +kb) mod (p— 1) 
5= (8 X 6+ 9 X b) mod 10 
解 是 6 二 3， 签 名 是 一 对 数 ; a=6 和 0 一 3。 
验证 签名 时 ， 只 需要 确保 : 
ya’(mod p)= g* (mod p) 
3°6’(mod 11)= 2° (mod 11) 
ElGamal 签名 的 一 种 变型 在 文献 [1377] 中 有 描述 。Thomas Beth 发 明了 一 种 适合 于 身 
份 证 明 的 ElGamal 方案 的 变型 5 。 还 有 一 些 变型 适用 于 口令 验证 5 ， 也 有 用 于 密 钥 交换 
AY) 。 这 类 变型 达 千 种 以 上 (参见 20.4 节 )。 


19.6.2 ElGamal 加 密 
ElGamal 方案 的 一 种 修改 版 可 以 对 消息 进行 加 密 。 要 加 密 消息 M， 首 先 选择 随机 数 A， 
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只 要 上 与 p 一 1 互 素 。 然 后 计算 : 
a = g" mod p 
b = y*M mod p 
a Alb 是 密 文 对 。 注 意 ， 密 文 的 大 小 是 明文 的 两 倍 。 
解密 a 和 6 时 ， 计算 : 
M = b/a” (mod p) 
因为 a =g" mod p WR b/a =y'M/a =g*M/g* =M mod p 都 成 立 ( 见 表 19-6), KR 
T y 是 密 钥 的 一 部 分 以 及 通过 乘 以 y* 加 密 外 ， 它 和 Diffie-Hellman 密 钥 交 换 〈 参 见 22.1 
节 ) 几乎 一 样 。 


表 19-6 ElGamal 加 密 

AREH p: RM 〈 可 由 一 组 用 户 共享 ) 

8 二 p〔( 可 由 一 组 用 户 共 享 ) 

y=g* (mod p) 
FALA H z<p 
加 密 k: 随机 选择 ， 与 p 一 1 互 素 

a (HX) 二 gt mod p 

b ( 密 文 ) =y*M mod p 
解密 M (明文 ) =6/a* (mod p) 


19.6.3 速度 
R 19-7 给 出 了 ElGamal 的 软件 实现 速度 [59 。 


R 19-7 具有 160 位 指数 的 ElGama 对 于 不 同 长 度 模 数 的 速度 (在 SPARC Tb) © 
512 位 768 位 1024 位 





加 密 0. 33s 0. 80s 1. 09s 
解密 0. 24s 0. 58s 0.77s 
签名 0. 25s 0. 47s 0. 63s 
验证 1. 37s 5.12s 9. 30s 


19.6.4 专利 


ElGamal 方案 未 申请 专利 。 但 是 ， 当 你 继续 研究 实现 该 算法 时 ， 应 该 知道 公开 密 钥 伙伴 
(PKP) 认为 该 算法 涉及 了 Diffie-Hellman A, HÆ, Diffie-Hellman 专利 将 于 1997 年 
4 月 29 日 到 期 ， 到 那 时 使 EIGamal 公开 密 钥 加 密 算 法 适用 于 加 密 和 数字 签名 领域 的 专利 将 
在 美国 不 受阻 得。 我 们 已 等 到 了 。 


19.7 McEliece 算法 


1978 年 McEliece 研究 出 了 一 种 基于 代数 编码 理论 的 公开 密 钥 密 码 系统 "” 。 该 算法 使 
用 了 一 类 称 为 Goppa 码 的 纠 错 编码 的 存在 性 ， 其 思想 是 构造 一 个 Goppa 码 并 将 其 伪装 成 普 
通 的 线性 码 。 解 Goppa 码 有 一 种 快速 算法 ,但 要 在 线性 二 进 制 码 中 找到 一 种 给 定 大 小 的 代 
码 字 则 是 一 个 NP 完全 问题 。 该 算法 的 详细 描述 见 文 献 [1233]， 也 可 见 文献 [1562]。 下 面 
是 其 摘要 。 
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S dn(X,，Y) 表示 x 和 y 之 间 的 汉 明 距离 ， 数 n、k Mt 是 系统 参数 。 

私人 密 钥 由 三 部 分 组 成 : G' 是 一 个 能 纠 t 个 错 的 kXn BY Goppa 码 发 生 器 和 矩阵，P 是 
nXn 阶 置换 矩阵 ，S 是 &X&k 阶 非 退 化 矩阵 。 

公开 密 钥 是 kXn MEG : G=SG'P, 

明文 是 上 位 的 串 ， 以 GF(2) 上 的 维 向 量 表示 。 

加 密 消息 时 ， 随 机 选择 GFO) 上 的 n 维 向 量 z， 其 汉 明 距离 小 于 或 等 于 1。 

c=mG+2 

解密 时 ， 首 先 计 算 c 二 cP  。 然 后 用 Goppa 码 的 解码 算法 寻找 m, EAL dr (m'G, Dt 
最 后 计算 m=m S, 

在 他 最 初 的 论文 中 ，McEliece 建议 n= 二 1024,， 1 二 50, k= 二 524。 这 是 达到 安全 要 求 的 最 
小 值 。 

尽管 该 算法 是 最 早 的 公开 密 钥 算法 之 一 ， 并 且 对 它 没有 成 功 的 密码 分 析 结 果 ， HREM 
未 获得 密码 学 界 的 广泛 接受 。 该 方案 比 RSA 快 两 三 个 数量 级 ， 但 也 存在 着 多 个 问题 : 公开 
密 钥 太 庞大 ， 为 219 位 长 、 数 据 扩 展 太 大 ， 密 文 长 度 是 明文 的 两 倍 。 

对 该 系统 进行 密码 分 析 的 一 些 尝试 见 文献 [8、943、1559、306]， 这 些 均 没 有 取得 一 般 
意义 上 的 成 功 ， 尽 管 McEliece 算法 和 背包 之 间 的 相似 性 使 人 担忧 。 

1991 年 ， 两 位 俄罗斯 的 密码 学 家 声称 采用 一 些 参数 破译 了 McEliece ABE). HHT 
论文 没有 证 据 证 实 他 们 的 结论 ， 大 多 数 密码 学 家 对 此 结果 持 怀疑 态度 。 另 外 一 个 俄罗斯 的 攻 
apo 2 不 能 直接 对 McEliece 系统 进行 攻击 。McEliece 的 扩展 可 在 文献 [424、1227、 
976] 中 找到 。 


其 他 基于 线性 纠 错 编码 的 算法 


Niederreiter 算法 与 McEliece 算法 紧密 相关 ， 假设 公 开 密 钥 是 纠 错 编 码 的 随机 奇偶 校 验 
矩阵， 私人 密 钥 则 是 这 个 和 矩阵 的 有 效 解码 算法 。 

用 作 身 份 识别 和 数字 签名 的 另 一 个 算法 基于 syndrome 解码 "J ， 其 评论 见 文献 [306], 
基于 纠 错 编 码 Ay Bee 是 不 安全 的 [688.33.31.1560.33] 


19.8 椭圆 曲线 密码 系统 


椭圆 曲线 已 研究 了 很 多 年 ， 关 于 这 方面 有 大 量 的 文献 。1985 Æ, Neal Koblitz 和 
V. S. Miller 分 别提 出 将 它 用 于 公开 密 钥 密 码 体 制 %”…”]。 他 们 没有 发 明 有 限 域 上 使 用 椭圆 
曲线 的 新 的 密码 算法 ,但 他 们 用 椭圆 曲线 实现 了 已 存在 的 公开 密 钥 密码 算法 ， 如 Diffie 
Hellman 算法 。 

椭圆 曲线 的 吸引 人 之 处 在 于 它 提 供 了 由 “元 素 ” 和 “组 合 规则 ”来 组 成 群 的 构造 方式 。 
用 这 些 群 来 构造 密码 算法 具有 完全 相似 的 特性 ， 但 它们 并 没有 减少 密码 分 析 的 分 析 量 。 例 
如 ， 采 用 椭圆 曲线 就 没有 “平滑 ”的 概念 。 也 就 是 说 ， 在 一 个 随机 元 素 能 以 大 的 概率 被 一 个 
简单 算法 表示 的 情况 下 ， 不 存在 小 元 素 的 集合 。 这 样 ， 离 散 对 数 算法 的 指数 计算 不 起 作用 。 
文献 [1095] 中 有 详尽 的 说 明 。 

有 限 域 GF(2") 上 的 椭圆 曲线 特别 有 趣 ， 域 上 的 运算 处 理 器 很 容易 构造 ， 并 且 ”在 
130 一 200 位 之 间 的 实现 是 相当 简单 的 。 它 们 提供 了 一 个 更 快 的 具有 更 小 密 钥 长 度 的 公开 密 钥 
密码 系统 。 很 多 公开 密 钥 算法 ， 如 Diffie Hellman, ElGamal 和 Schnorr 可 以 在 有 限 域 上 用 
椭圆 曲线 实现 。 
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这 里 的 数学 原理 很 复杂 ， 超 出 了 本 书 的 范围 。 感 兴趣 的 读者 可 阅读 上 面 提 到 的 两 篇 参考 
文献 和 Alfred Menezes 的 优秀 读本 5 5。 椭圆 曲线 上 的 RSA 的 两 个 分 析 见 文献 [890、 
454]。 其 他 论文 见 文献 [23、119、1062、869、152、871、892、25、895、353、1061、26、 
913、914、915]。 文 献 [701] 中 讨论 了 具有 短 密 钥 的 椭圆 曲线 密码 系统 。Next 计算 机 公司 
的 快速 椭圆 加 密 (FEE) 算法 也 使 用 了 椭圆 曲线 ”1。FEE 还 有 一 个 好 的 特性 是 ， 私 人 密 钥 
可 以 是 任何 容易 牢记 的 字符 串 。 文献 [868、870、1441、1214] 中 都 提出 了 使 用 椭圆 曲线 的 
公开 密 钥 密码 系统 。 


19.9 LUC 算法 


有 些 密码 学 家 已 研究 出 RSA 的 一 般 算 法 ， 它 采用 各 种 置换 多 项 式 取代 指数 运算 。 一 种 
称 为 Kravitz-Reed 的 变型 ， RATAN AW AWRY, Ee BR eae Winfried 
Miiller 和 Wilfries Nobauer 采用 了 Dickson 多 项 式 0427 18-96] | Rudolph Lidl 和 Müller 在 文 
献 [966、1126] 中 采用 了 该 方法 KH Réidi 方案 的 一 种 变型 )，N6bauer 在 文献 [1172、 
1173] 中 研究 了 其 安全 性 。 (用 Lucas 函数 产生 素数 的 内 容 在 文献 [969, 967, 968, 598] 
中 提 及 )。 尽 管 这 些 是 已 有 技术 ,但 来 自 新 泽 西 的 一 组 研究 人 员 试 图 在 1993 年 对 该 方案 申请 
专利 ， 称 之 为 LUCH486 .52 .1487] 。 

5 n 7 Lucas 数 V,(P，1) 定义 为 ; 

V,(P,1) = PV, (P,1)—V,:(P,1) 

还 有 更 多 的 关于 Lucas MNF. KABA PBR. Lucas 序列 的 一 种 好 的 理论 处 理 见 
L1307、1308]。 一 种 非常 好 的 LUC 数学 描述 见 [1494, 708]. 

无 论 如 何 ， 要 产生 公开 密 钥 /私人 密 钥 对 ， 首 先 要 找到 两 个 大 素数 p 和 g。 计算 p 和 g 
的 乘积 nx。 加 密 密 钥 e 是 随机 数 ， 并 与 p 一 1、gq 一 1、p 十 1 和 g 十 1 ER. 

4 种 可 能 的 解密 密 钥 为 : 

d =e! mod (lem((p+1),(q+1))) 

d = e ' mod (Ilem((p+1),(q—1))) 

d = e’ mod (lem((p—1),(q¢+1))) 

d = e` mod (Iem((p—1),(q—1))) 
其 中 lem 是 最 小 公 倍 数 。 

公开 密 钥 是 d Mn, MARHE eMn, EF pg. 

加 密 消 息 PCP 必须 小 于 n) 时 ， 计算 : 

C= V,(P,l)(mod n) 
解密 为 : 
p=V.C(P.1)(modn) ”使 用 适当 的 d 

LUC 最 多 能 达到 RSA 的 安全 级 。 目 前 ， 有 一 些 未 公开 的 结果 表明 ， 至 少 在 某 些 实现 中 

可 破译 LUC， 我 不 相信 这 个 算法 。 


19. 10 有限 自 动机 公开 密 钥 密码 系统 


中 国 密码 学 家 陶 仁 怠 发 明了 一 种 基于 有 限 自动 机 的 公开 密 钥 算法 "e590oteon] 。 
就 像 分 解 两 个 大 素数 的 乘积 很 困难 一 样 ， 分 解 两 个 有 限 自 动机 的 合成 也 很 困难 。 假 如 其 中 的 
一 个 或 两 个 是 非 线性 时 ， 那 就 更 困难 了 。 

该 领域 的 大 量 研究 发 生 在 20 世纪 80 年 代 的 中 国 ， 并 以 中 文公 开发 表 。 陶 仁 又 开始 用 英 
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语 发 表 论文 。 他 的 主要 结论 为 : 某 些 非 线性 自动 机 〈 准 自动 机 ) 当 且 仅 当 它们 有 某 种 梯形 手 
阵 结 构 时 ， 具 有 弱 的 可 逆 性 。 如 果 是 其 他 矩阵 结构 〈 甚 至 是 线性 结构 ) ， 它 就 不 具有 该 特性 。 
在 公开 密 钥 算 法 中 ， 私 人 密 钥 就 是 一 个 可 逆 的 准 自动 机 ， 也 是 线性 自动 机 ， 相 应 的 公开 密 铀 
就 由 它们 逐 项 相 乘 来 获得 。 数 据 经 过 公开 的 自动 状态 机 后 加 密 ， 解 密 经 过 有 上 述 自动 状态 机 
的 各 个 组 件 的 反 向 路 径 得 到 (在 某 些 情况 下 ， 它 们 设置 成 适当 的 初始 化 值 )。 该 方案 可 用 于 
加 密 和 数字 签名 。 

该 系统 的 性 能 概括 地 说 像 McElience 系统 ， 它 们 运行 比 RSA 快 , 但 也 需要 更 长 的 密 钥 。 
要 获得 与 512 位 RSA 相似 的 安全 性 ， 密 钥 长 度 应 为 2792 位 ; 而 要 获得 与 1024 位 RSA 相似 
的 安全 性 ， 密 钥 长 度 应 为 4152 位 。 在 一 台 33MHz 的 80486 上 运行 前 一 种 情况 ， 系 统 加 密 数 
据 速 率 为 20 869 F/P, 解密 数据 速率 为 17 117 字 节 / 秒 。 

陶 仁 怠 公开 了 三 个 算法 。 第 一 个 为 FAPKC0。 这 是 系统 很 弱 ， 使 用 了 线性 组 件 ， 且 主 
要 用 于 解释 。 另 外 两 个 重要 的 系统 为 FAPKCl1 和 FAPKC2， 每 一 个 都 采用 了 线性 和 非 线 性 
的 组 件 。 后 者 更 复杂 ， 研究 的 目的 是 为 了 进行 身份 鉴别 。 

对 于 这 些 算法 的 强度 ， 中 国 在 这 方面 已 经 做 了 很 多 研究 工作 (有 30 多 个 研究 机 构 公 开 
了 密码 学 和 安全 方面 的 论文 )。 人 们 可 从 相当 多 的 中 文 文献 中 了 解 对 该 问题 的 研究 。 

FAPKC1 和 FAPKC2 一 个 可 能 的 吸引 力 是 它们 没有 获得 任何 美国 专利 。 因 此 ,一旦 
Diffie Hellman 专利 在 1997 年 过 期 ， 它 们 将 毫 无 疑问 地 成 为 公开 的 讨论 对 象 。 
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20.1 数字 签名 算法 


1991 £8 H, NIST 提出 了 数字 签名 算法 (DSA) 用 于 他 们 的 数字 签名 标准 CDSS) 
中 o 根据 《Federal Register》5381 j 


在 此 提出 一 种 数字 签名 标准 (DSS) 的 联邦 信息 处 理 标准 (FIPS)。 该 标准 规 
定 了 一 种 适用 于 联邦 数字 签名 应 用 中 的 公开 密 钥 数 字 签 名 算法 (DSA). DSS 使 用 
公开 密 钥 ， 为 接收 者 验证 数据 的 完整 性 和 数据 发 送 者 的 身份 。 它 也 可 用 于 由 第 三 方 
去 确定 签名 和 所 签 数据 的 真实 性 。 

该 标准 采纳 了 用 一 对 变换 去 产生 和 验证 称 为 签名 的 数值 的 公开 密 钥 签名 方案 。 


并 且 : 


FIPS 是 经 过 对 许多 种 可 选 的 数字 签名 技术 进行 评价 之 后 提出 的 。NIST 遵循 
1987 年 的 计算 机 安全 法 案 第 二 节 中 的 规定 做 出 选择 ， 该 规定 要 求 NIST “oe 确保 
以 最 低 的 成 本 实现 联邦 信息 最 有 效 的 安全 性 和 保密 性 ， 并 且 在 多 种 具有 相当 安全 性 
的 方法 中 选择 操作 性 和 使 用 性 最 好 的 那个 。” 

进行 这 次 选择 时 考虑 的 因素 有 安全 程度 、 软 件 和 硬件 实现 的 容易 程度 、 从 美国 
出 口 的 容易 程度 、 专 利 的 适用 范围 、 对 国家 安全 和 法 律 执行 的 影响 程度 ， 以 及 签名 
和 验证 函数 的 效率 。 许 多 技术 都 能 对 联邦 系统 提供 合适 的 保护 。 选 用 的 技术 应 具有 
如 下 的 特点 : 

NIST 期 望 使 用 它 无 专利 问题 ， 公 开 的 可 用 性 有 利于 该 技术 的 广泛 使 用 ， 这 将 
给 政府 和 公众 带 来 经 济 利益 。 

选用 的 技术 应 保证 在 智能 卡 应 用 中 有 效 地 实现 签名 操作 。 在 这 些 应 用 中 签名 操 
作 应 在 计算 能 力 适 中 的 智能 卡 环境 中 进行 ， 而 验证 过 程 可 在 计算 能 力 较 强 的 环境 中 
实现 ， 如 个 人 计算 机 、 硬 件 密码 模块 和 大 型 计算 机 。 


为 了 不 引起 混淆 ， 我 们 再 回顾 一 下 术语 : DSA 是 算法 ，DSS 是 标准 。 标 准 采用 算法 ， 
算法 是 标准 的 一 部 分 。 


20. 1. 1 对 通告 的 反应 

NIST 的 通告 引起 了 大 量 的 非 难 和 但 责 。 遗 憾 的 是 ， 它 的 政治 性 多 于 学 术 性 。RSA 算法 
的 供应 商 RSADSI 站 在 反对 DSS 的 前 沿 ， 他 们 希望 是 RSA 而 不 是 另 一 种 算法 成 为 标准 。 访 
公司 花 了 大 量 经 费 来 获得 RSA 算法 的 专利 许可 权 ， 因 而 无 专利 权 的 数字 签名 标准 将 会 直接 
影响 他 们 的 收入 〈 注 ，RSA 未 必 是 毫 无 专利 侵权 的 ， 这 一 点 将 在 后 面 讨论 ) 。 

在 该 算法 公布 之 前 ，RSADSI 曾 发 起 了 一 场 反 对 “公共 模 数 ”的 运动 ， 理 由 是 它 可 能 合 
政府 具有 伪造 签名 的 能 力 。 而 当 公布 的 算法 没有 这 种 公共 模 数 之 后 ， 他 们 又 以 向 NIST 写 信 
和 向 新 闻 界 发 表 声 明 的 方式 ， 从 其 他 方面 对 它 攻击 cs0 ( 写 给 NIST 的 4 封 信和 见 文献 
[1326]。 阅 读 这 些 信件 时 ， 不 要 忘 了 其 中 至 少 有 两 位 作者 Rivest 和 Hellman 不 赞成 将 DSS 
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用 于 金融 方面 )。 

许多 已 经 取得 RSA 算法 专利 许可 权 的 大 型 软件 公司 也 站 出 来 反对 DSS。1982 年 ， 美国 
政府 征求 用 于 标准 的 公开 密 钥 算法 ”1， 其 后 九 年 NIST 未 透露 一 点 消息 。IBM、 苹 果 、 网 
R EE, IAEI Mik, DEC 和 SUN 等 公司 已 经 投入 大 量 的 资金 来 实现 RSA 算法 ， 
他 们 当然 不 希望 这 些 资 金 白白 流失 。 

到 1992 年 2 月 28 日 第 一 次 征求 意见 结束 时 ，NIST 共 收 到 109 篇 评论 。 

我 们 逐一 看 看 这 些 反 对 DSA 的 评论 。 

(1) DSA 不 能 用 于 加 密 或 密 钥 分 配 。 

确实 如 此 ， 但 这 不 是 该 标准 的 主要 问题 。 这 是 一 个 签名 标准 ，NIST 应 该 有 一 个 公开 密 
钥 加 密 的 标准 。NIST 没有 提供 一 个 公开 密 钥 加 密 标准 对 美国 人 极 不 公平 。NIST 推荐 一 个 
不 能 用 于 加 密 的 数字 签名 标准 的 动机 值得 怀疑 (虽然 变换 形式 它 也 能 用 于 加 密 参见 
23. 3 节 )。 这 并 不 是 说 该 签名 标准 毫 无 用 处 。 

(2) DSA 是 由 NSA 研制 的 ， 并 且 算 法 中 可 能 存在 陷 门 。 

最 初 的 许多 评论 源 于 密码 学 家 的 亡 想 症 : “NIST 毫 无 理由 地 拒绝 建议 ， 不 仅 不 能 使 人 
对 DSS 充分 信任 ， 反 而 令 人 担心 其 后 是 否 隐 藏 着 什么 ， 如 全 国 的 公开 密 钥 密码 系统 是 建立 
在 它 很 容易 被 NIST 和 NSA BRE AY EH ESO. Bellcore 的 Arjen Lenstra 和 Stuart Haber 
的 确 得 出 了 有 关 DSS 安全 性 的 一 个 严重 问题 ， 关 于 这 一 点 后 面 将 详细 讨论 。 

(3) DSA 比 RSA t@!*° 。 

大 致 是 这 样 的 。 两 者 产生 签名 的 速度 相同 ， 但 验证 签名 时 DSA 慢 10~40 倍 。 其 密 钥 产 
生 比 RSA 快 。 但 是 密 钥 产生 关系 不 大 ， 用 户 很 少 做 这 项 工作 。 签 名 和 验证 才 是 最 常用 的 
操作 。 

这 种 批评 存在 的 问题 是 可 用 多 种 方法 对 参数 进行 测试 ， 取 决 于 你 所 想得到 的 结果 。 预 先 
计算 可 以 加 快 DSA 的 签名 ， 但 这 并 不 可 行 。RSA 的 支持 者 使 用 优化 的 数 来 使 计算 更 容易 ， 
DSA 支持 者 也 有 他 们 自己 的 优化 措施 。 总 之 ,计算 机 越 来 越 快 。 尽 管 存在 着 差别 ， 但 在 大 
多 数 应 用 中 并 不 明显 。 

(4) RSA 是 一 个 事实 上 的 标准 。 

有 两 个 这 种 申述 的 例子 。IBM 的 标准 规划 主任 Robert Follett gt ; 

IBM 关心 的 是 NIST 没有 采纳 国际 标准 ， 而 是 提出 了 另 一 种 数字 签名 方案 的 标 

准 。 用 户 和 用 户 组 织 已 经 使 我 们 相信 ， 在 不 久 的 将 来 采用 RSA 的 国际 标准 是 销售 

安全 产品 的 先决 条 件 。 

摩托 罗拉 副 总 裁 兼 MIS 和 通信 部 主任 Les Shroyer AH: 

我 们 必须 拥有 一 种 单一 的 、 坚 固 的 并 且 是 政治 上 可 以 接受 的 数字 签名 标准 ， 它 

可 通用 于 全 世界 、 美 国 和 非 美 国 、 摩 托 罗 拉 和 非 摩 托 罗拉 都 可 使 用 。 在 过 去 八 年 

中 ， 由 于 缺乏 其 他 成 熟 的 数字 签名 技术 ，RSA 已 成 为 了 事实 上 的 标准 …… 摩托 罗 

拉 公 司 和 其 他 许多 公司 …… 已 经 投入 数 百 万 美元 用 于 RSA。 我 们 为 两 种 不 同 标 准 

之 间 的 互 操 作 性 和 相互 支持 而 忧虑 ， 这 种 情形 将 带 来 额外 的 成 本 ， 并 使 推广 使 用 延 

期 和 复杂 化 …… 

许多 公司 希望 NIST 采纳 使 用 RSA 的 国际 数字 签名 标准 ISO 979655 。 虽 然 理 由 比较 正 


但 对 一 个 标准 来 说 并 不 是 十 分 恰当 ， 无 专利 权 的 标准 带 给 美国 公众 的 好 处 要 大 得 多 。 
(5) DSA 的 选择 过 程 不 公开 ， 并 且 提 供 的 分 析 时 间 不 充分 。 
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NIST 先是 称 是 他 们 设计 了 DSA， 后 来 又 承认 NSA 帮助 过 他 们 。 最 后 ， 他 们 证 实 是 
NSA 设计 了 该 算法 。 这 使 许多 人 感到 担心 ，NSA 不 能 使 人 信任 。 尽 管 如 此 ， 算 法 是 公开 的 
和 可 分 析 的 ， 并 且 NIST 延长 了 分 析 和 评论 的 时 间 。 

(6) DSA 可 能 侵犯 其 他 专利 。 

这 是 可 能 的 ， 将 在 有 关 专 利 的 地 方 详细 讨论 。 

(7) 密 钥 长 度 太 小 。 

这 是 对 DSS 的 唯一 合理 的 批评 。 最 初 的 实现 将 模 数 设置 为 512 位 "1 。 由 于 算法 的 安 
全 性 依赖 于 计算 模 数 的 离散 对 数 的 难度 ， 因 此 许多 密码 学 家 对 此 忧心 促 刷 。 在 有 限 域 上 
计算 离散 对 数 的 问题 已 有 进展 ， 对 长 期 的 安全 性 来 说 512 位 太 小 (参见 7. 2 节 )。 据 Brian 
LaMacchia 和 Andrew Odlyzko 称 :“…… 即使 是 512 位 的 素数 也 只 能 提供 勉强 合格 的 安全 
PE sree INIST 对 该 批评 做 出 的 反应 是 使 该 密 钥 长 度 可 变 ， 变 化 范围 从 512~1024 位 。 没 
有 大 的 变化 ， 但 更 好 。 

1994 年 5 月 19 日， 该 标准 最 终 颁布 %*]。 颁 布 的 声明 指出 "**]. 


该 标准 适用 于 所 有 联邦 部 门 和 机 构 保 护 非 密 信 息 …… 该 标准 将 用 来 设计 和 执行 
基于 签名 方案 的 公开 密 钥 ， 该 签名 方案 用 于 联邦 部 门 和 机 构 以 及 他 们 的 合同 。 该 标 
准 也 可 被 个 人 和 商业 组 织 采 纳 和 使 用 。 


如 果 打 算 在 新 产品 中 使 用 和 执行 该 标准 ， 请 读 一 读 专利 这 一 节 〈20.1.11 节 ) 的 内 容 。 


20.1.2 DSA 的 描述 


DSA Æ Schnorr 和 ElGamal 签名 算法 的 变型 ， 在 文献 [1154] 中 有 关于 它 完整 的 描述 。 
算法 中 用 到 了 以 下 参数 : 

妃 是 工 位 长 的 素数 ， 其 中 世 从 512~1024 HÆ 64 的 倍数 〈 在 标准 的 最 初版 本 中 ，z 的 
长 度 固定 为 512 位 。 这 引起 了 许多 批评 ， 之 后 NIST HETE). 

q Æ 160 位 长 且 与 p 一 1 互 素 的 因子 。 

gah?" mod p， 其 中 是 小 于 p 一 1 #EHWE A? ^ mod p KF 1 的 任意 数 。 

Z 是 小 于 4 WK. 

y=g" mod p. 

另外 ， 算 法 使 用 一 个 单 向 散 列 函数 互 (”) 。 标 准 指 定 了 安全 散 列 算法 (SHA), 详细 的 
讨论 见 18.7 节 。 

前 面 的 三 个 参数 p、g Me 是 公开 的 ， 且 可 以 被 网 络 中 所 有 的 用 户 公 有 。 私 人 密 钥 是 x, 
公开 密 钥 是 y。 

对 消息 m 签名 时 : 

(1) Alice 产生 一 个 小 于 eg 的 随机 数 &。 

(2) Alice 产生 : 

r= (g* mod p) mod q 
s= (k'(H(m)+2r)) mod q 
r 和 s 就 是 她 的 签名 ， 她 将 它们 发 送 给 Bob. 
(3) Bob 通过 计算 来 验证 签名 : 
w=s 
u,= (H(m) X w) mod q 


1 


mod q 
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u:= (rw) mod q 
v= ((g"! X y) mod p) mod q 
如 果 vsr, WEZAR. 
有 关 数 学 关系 的 证 明 见 文献 1154], # 20-1 给 出 了 DSA 签名 的 小 结 。 


表 20-1 DSA 签名 
公开 密 钥 
p 512~1024 位 的 素数 (可 以 在 一 组 用 户 中 共享 ) 
q 160 位 长 ， 并 与 p 一 1 互 素 的 因子 (可 以 在 一 组 用 户 中 共享 ) 
8 一 ho 0 mod p， 其 中 hh 小 于 p 一 1 HA AY PY /g p>] (可 以 在 一 组 用 户 中 共享 ) 
y=gt mod p (一 个 pp 位 的 数 ) 
AR A 
xr<q (一 个 160 位 的 数 ) 
签名 
& 选 取 小 于 9 的 随机 数 
r( 签 名 ) 二 (gt mod p) mod q 
s( 4%) =(k7!(H(m)+-2r)) mod q 
验证 
w=s ! mod q 
ui = (H(m) Xw) mod q 
uz = (rw) mod q 
v= ((g"1 X y"2) mod p) mod q 
如 果 v= 二 r+， 则 签名 被 验证 


20. 1.3 快速 预计 算 
K 20-2 给 出 了 DSA 的 软件 速度 的 例子 ”9 。 
表 20-2 AA 160 位 指数 的 DSA 对 于 不 同 长 度 模 数 的 速度 (在 SPARCI 上) 





512 位 768 位 1024 位 
签名 0. 20s 0. 43s 0. 57s 
验证 0. 35s 0. 80s 1. 27s 


实际 上 ， 实 现 DSA 时 可 通过 预计 算 来 加 快速 度 。 注 意 > 的 值 与 消息 无 关 ， 因 此 可 以 产 
生 一 串 随机 的 4， 并且 预先 计算 出 与 之 对 应 的 ~ 值 ， 还 可 以 对 每 个 上 值 预先 计算 &A-: 。 这 样 ， 
HAME, HAREN rA RHH s- 

这 种 预先 计算 大 大 加 快 了 DSA. X 20-3 是 在 智能 卡 中 实现 DSA 和 RSA 的 计算 时 间 的 
ppm, 


表 20-3 RSA 和 DSA 计算 时 间 的 比较 





DSA RSA bp. a. BBA 
全 局 计算 卡 外 (P) N/A Sb (P) 
密 钥 产生 14s 卡 外 〈S) ds 
预计 算 14s N/A 4s 
签名 0. 03s 15s 0. 03s 
验证 16s 1. 5s 10s 
1~5s， 卡 外 (P) 1 一 3s， 卡 外 (P) 


注 : 卡 外 计算 在 33MHz 的 80386 个 人 机 上 进行 。(P) 表示 公开 参数 ，(S) 表示 秘密 参数 。 两 种 算法 都 使 用 512 位 模 数 。 
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20.1.4 DSA 的 素数 产生 


Lenstra 和 Haber 指出 某 些 模 数 比 其 他 模 数 更 容易 破解 1 。 如 果 有 人 用 了 一 个 这 种 
“杜撰 的 ” 模 数 ， 那 么 其 签名 就 很 容易 伪造 。 但 这 不 成 为 一 个 问题 ， 理 由 有 二 : 首先 ， 真 正 
具有 这 种 特性 的 模 数 很 容易 检测 出 来 。 其 次 ， 这 种 模 数 非常 少 ， 随 机 选择 模 数 时 碰 到 它们 的 

会 很 小 实际 上 比 用 概率 素数 产生 方法 得 到 的 合 数 还 小 。 

NIST 在 [1154] 中 推荐 了 一 种 产生 素数 p lg MAK, Hg 能 整除 p 一 1。 素 数 p 为 
Lf, SPF 512 一 1024 人 位， 是 64 的 倍数 。 素 数 g 是 160 位 。 设 L 一 1 二 160n 十 6， 其 中 LL 是 p 
WIKRE. n lb 是 两 个 数 并 且 2 小 于 160. 

(1) 选取 一 个 至 少 160 位 的 任意 序列 ， 称 为 S。 设 g 是 S 的 位 长 度 。 

(2) 计算 U=SHA(S)@SHA((S 十 1) mod 2:)，SHA 是 安全 散 列 算法 (参见 18.7 
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(3) 将 口 的 最 高 位 和 最 低位 置 为 1 形成 q。 

(4) 检验 g 是 否 是 素数 。 

(5) 如 果 gq 不 是 素数 ， 回 到 第 A) 步 。 

(6) 设 C=0,，N=2。 

(7) XF k=0, 1, =, n, &V,=SHAC(S+N-+2&) mod 2%) 

(8) $ WSV, 2V, +e 20V, 2V, mod 2'), WAR, HX=W+ 
2), HER X EL 位 长 的 数 。 

(9) 4 p=X—((X mod 24)—1). $Ë p MA 1K 2q. 

(10) 4 p<2*"', HAS 3) 步 。 

(11) 检测 p 是 否 为 素数 。 

(12) WR p 是 素数 ， 转 到 第 15) 步 。 

(13) & C=C+1, N=N+n+1. 

(14) 如 C=4096， 转 到 第 (1) 步 ; 否则 ， 转 到 第 (7) 步 。 

(15) 将 用 于 产生 p 和 gq 的 S 和 C 值 保存 起 来 。 

在 文献 [1154] 中 ， 变 量 SHA “AT”, CRA WRC., NRA “Maz”. 

这 表明 存在 着 公开 的 方法 来 产生 p 和 gq。 实 际 上 ， 这 种 方法 能 杜绝 “杜撰 的 ”p Aag 
的 产生 。 如 果 某 人 给 你 一 个 p 和 一 个 a， 你 可 能 会 想 知道 他 是 从 哪里 得 到 它们 的 。 但 是 ， 如 
果 给 你 的 是 产生 随机 p lg 的 S 和 C 的 值 ， 你 就 可 以 自己 进行 这 个 过 程 。 单 向 散 列 函 数 
SHA 的 使 用 能 防止 他 人 在 背后 做 手脚 。 

这 样 做 的 安全 性 比 RSA 高 。 在 RSA 中 ， 素 数 是 秘密 保存 的 。 某 人 可 能 产生 假 素 数 或 容 
易 分 解 的 特殊 形式 的 素数 ， 除 非 你 知道 私人 密 钥 ,否则 你 不 知道 这 一 点 。 而 这 里 ， 即 使 你 不 
知道 私人 密 钥 ， 你 也 可 以 确信 pp 和 g 是 随机 产生 的 。 


wv wv wv 


20.1.5 使 用 DSA 的 ElIGamal 加 密 


曾经 有 人 断言 政府 偏爱 DSA， 因 为 它 仅仅 是 数字 签名 算法 而 不 能 用 于 加 密 。 尽 管事 实 
如 此 ， 但 是 调用 DSA 函数 进行 ElGramal 加 密 是 可 能 的 。 

假定 DSA 算法 由 单个 函数 调用 来 实现 : 

DSAsign(p,g,g,k,x,h,r,s) 
Bit p. gq. g, ky ch, MRRASZSMr Als. 
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用 公开 密 钥 y 对 消息 m 进行 EIGamal 加 密 时 ， 选 择 一 个 随机 数 &， 并 调用 : 
DSAsign(p,p.g+k,0,0,r,5) 
r 值 返回 的 是 ElGamal 方案 中 的 a，s 弃 之 不 用 ， 然 后 调用 : 
DSAsign(p,p,y,k,0,0,r,s) 
将 r 的 值 记 为 w，s 弃 之 不 用 ， 调 用: 
DSAsign(p,p,m,1,u,0,r,s) 
HF ro BEK s ERIE EIGamal 方案 中 的 656。 这 样 就 得 到 了 密 文 a Alb. 
解密 很 容易 。 使 用 私人 密 钥 zx、 密 文 c 和 0， 调用 : 
DSAsign(p,p,a,r,0,0,r,s) 
r 的 值 是 a” hip. WA e. MWA: 
DSAsign(p,p,l,e,b,0,7,s) 
s 的 值 就 是 明文 m。 
这 种 方法 并 不 是 对 所 有 的 DSA 实现 都 行 得 通 ， 某 些 实现 可 能 会 固定 p 和 9g 的 值 ， 或 者 
固定 其 他 参数 的 长 度 。 只 要 实现 具有 充分 的 通用 性 ， 这 就 是 用 数字 签名 函数 进行 加 密 的 一 条 
途径 。 


20.1.6 使 用 DSA 的 RSA 加 密 


RSA 加 密 更 为 简单 。 使 用 模 数 nx、 消息 m 和 公开 密 钥 e， 调 用 : 
DSAsign(n,n,m,e,0,0,r,s) 

返回 的 r 值 就 是 密 文 。 
RSA 解密 可 用 同样 的 方法 。 如 果 d 是 私 钥 ， 则 : 
DSAsign(n,n,m,d,0,0,r,s) 

明文 是 返回 的 -~ 值 。 


20.1.7 DSA 的 安全 性 


512 位 的 DSA 不 能 提供 长 期 的 安全 性 ， 而 1024 位 则 可 以 。 
NSA 在 其 关于 这 个 问题 的 第 一 次 公开 访谈 中 ， 推 荐 了 Joe Abernathy 的 《The Houston 
Chronicle》， 它 是 针对 DSS 中 有 陷 门 这 个 断言 的 5363] ， 


谈 及 所 谓 的 DSS 中 的 陷 门 ， 我 们 发 现 术 语 陷 门 有 点 使 人 误解 ， 因 为 它 上 暗示 用 
DSS 发 出 的 消息 被 加 密 ， 并 且 通 过 一 个 陷 门 存 取 ， 而 某 人 能 以 菜 种 方法 解密 ( 读 ) 
该 消息 ， 而 无 需 了 解 发 送 者 。 

DSS 并 没有 加 密 任 何 数据 ， 真 正 的 问题 是 DSS 是 否 容易 被 人 伪造 签名 ， 从 而 
使 整个 系统 不 可 信 。 我 们 确认 当 DSS 被 正确 地 使 用 和 实现 时 ， 任 何人 (包括 
NSA) 用 DSS 伪造 签名 几乎 是 不 可 能 的 。 

而 且 ， 所 谓 陷 门 脆弱 性 对 任何 基于 公开 密 钥 的 鉴别 系统 都 存在 ， 包 括 RSA, 
以 某 种 方式 暗示 这 仅仅 影响 DSS (新 闻 界 的 观点 ) 完全 使 人 误解 。 这 是 一 个 实现 和 
怎样 进行 素数 选择 的 问题 。 请 注意 最 近 的 欧 密会 (EUROCRYPT) 有 关于 DSS 中 
陷 门 问题 的 专题 讨论 。 最 初 提 出 陷 门 断言 的 Bellcore 研究 人 员 也 在 该 专题 小 组 中 ， 
我 们 的 理解 是 该 专题 小 组 (EKA Bellcore 的 那 位 ) 得 出 的 结论 是 所 谓 的 陷 门 不 
是 DSS 的 问题 ， 不 仅 如 此 ， 一 致 的 意见 是 陷 门 问题 很 普通 ， 但 是 被 新 闻 界 夸大 了 。 
尽管 如 此 ， 为 了 响应 有 关 陷 门 的 断言 ， 应 NIST 的 请 求 我 们 设计 了 一 种 素数 产生 过 
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程 ， 它 能 保证 避免 选取 那些 非常 少 的 但 用 于 DSS 时 将 引起 安全 弱点 的 弱 素 数 。 另 
外 ，NIST 打算 允许 使 用 长 至 1024 位 的 模 数 ， 这 样 的 话 就 不 必 采 用 上 述 消 除 弱 素 
数 的 素数 产生 过 程 。 另 一 个 非常 重要 但 常常 被 忽视 的 问题 是 : DSS 中 的 素数 是 公 
开 的 ， 因 而 可 接受 公开 的 检验 。 并 不 是 所 有 的 公开 密 钥 系统 都 具有 与 此 相同 的 
检验 。 

信息 安全 系统 的 完整 性 要 求人 们 注意 恰当 地 实现 系统 。 由 于 众多 的 脆弱 性 可 能 
引起 用 户 之 间 的 差别 ， 所 以 为 了 使 系统 的 风险 最 小 ，NSA 传统 上 使 用 集中 式 的 可 
信 中 心 。 为 了 满足 NIST 对 更 为 分 散 方法 的 需求 ， 我 们 对 DSS 做 了 技术 上 的 改进 ， 
但 仍然 应 该 强调 《Federal Register》 中 有 关 DSS 的 这 一 部 分 : 

“尽管 本 标准 的 目的 是 规定 产生 数字 签名 的 一 般 安全 需求 ， 但 并 不 保 

证 遵照 本 标准 执行 的 某 个 特定 的 实现 是 安全 的 。 每 个 部 门 或 机 构 的 负责 人 

应 确保 一 个 全 面 的 实现 能 达到 可 接受 的 安全 程度 ，NIST 将 与 政府 用 户 一 

起 工作 ， 以 保证 合适 地 实现 。” 

在 我 们 最 终 读 完了 所 有 声称 DSS 不 安全 的 论点 之 后 ， 仍 不 能 确信 其 正确 性 。 
Æ NSA 内 部 曾 对 DSS 进行 了 认真 的 评估 ， 在 用 它 对 一 个 智能 系统 中 的 一 般 数 据 进 
行 签名 和 对 一 个 选 定 的 系统 中 的 机 密 数据 进行 签名 之 后 ， 信 息 系 统 安 全 部 门 的 主任 
在 鉴定 书 上 签名 认可 了 该 算法 。 我 们 认为 这 是 对 所 谓 正 确 使 用 和 实现 的 DSS 提供 
的 完整 性 缺乏 令 人 置信 的 攻击 这 一 说 法 的 回答 。 从 美国 政府 对 数字 签名 的 技术 和 安 
全 需求 来 说 ， 我 们 认为 DSS 是 最 好 的 。 事 实 上 ，DSS 目前 正 处 于 国际 信息 系统 的 
试验 中 ， 以 保证 重要 命令 和 控制 信息 的 电子 消息 的 真实 性 。 参 加 最 初试 验 的 有 联合 
参 谍 部、 各 军种 和 国防 部 。 在 NIST 的 协助 下 ， 该 项 目 正在 进行 之 中 。 


我 并 不 打算 评价 NSA 的 可 信赖 程度 ， 如 何 对 待 其 评论 取决 于 你 自己 。 
20.1.8 攻击 k 


每 个 签名 都 需要 一 个 新 值 &， 并 且 该 值 必须 是 随机 选择 的 。 如 果 Eve KET Alice 用 来 
签名 消息 的 &， 也 许 通 过 随机 数 发 生 器 的 某 些 特征 来 产生 &， 她 就 可 以 恢复 Alice 的 私人 密 
Fx. WR Eve 获得 了 使 用 同一 个 & 签 名 的 两 个 消息 ， 即 使 她 不 知道 上 的 任何 情况 ， 也 可 以 
REx, HAS k, Eve 就 可 以 产生 Alice 的 签名 。 在 DSA 的 实现 中 ， 一 个 好 的 随机 数 发 生 
器 对 系统 安全 是 至 关 重 要 的 。 


20. 1.9 公共 模 数 的 危险 


尽管 DSS 并 没有 为 所 有 人 指定 一 个 共享 的 公共 模 数 ， 但 不 同 的 实现 可 能 会 这 样 。 例 如 ， 
税务 局 正在 考虑 将 DSS 用 于 税收 的 电子 支付 系统 。 如 果 他 们 要 求全 国 所 有 纳税 人 使 用 公有 
的 户 和 9 会 怎么 样 ? 尽管 标准 不 需要 公共 模 数 ， 但 这 种 实现 用 来 完成 同样 的 事情 。 公 共 模 数 
很 容易 变 成 密码 分 析 者 诱 人 的 目标 。 尽 管 现在 确定 DSS 将 会 有 多 少 种 实现 类 型 还 为 时 尚 早 ， 
但 这 的 确 是 一 个 值得 关注 的 问题 。 


20. 1.10 DSA 中 的 阐 下 信道 


Gus Simmons 发 现 了 DSA 中 的 一 种 阅 下 信道 。 该 阐 下 信道 使 人 们 可 以 在 其 签名 中 级 
入 秘密 消息 ， 只 有 男 一 个 知道 密 钥 的 人 能 阅读 它 。 据 Simmons 称 ， 在 DSS 中 “能 克服 所 
有 在 使 用 ElIGamal 方 案 时 阅 下 信道 中 显而易见 的 内 在 缺点 ”是 一 种 “奇异 的 巧合 ”， 并 且 
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DSS“ 提 供 了 至 今 发 现 的 最 适合 浆 下 信道 通信 的 环境 ”。NIST 和 NSA 还 未 对 这 种 阔 下 信 
道 做 出 评论 ， 没 人 知道 他 们 是 否 早 知道 阅 下 信道 。 既 然 阐 下 信道 使 不 诚实 的 DSS 实现 者 
可 以 在 每 次 签名 时 泄露 私人 密 钥 的 一 部 分 ， 那么 最 重要 的 是 ， 如 果 你 不 信任 实现 者 就 不 
要 使 用 DSS。 


20. 1. 11 专利 
David Kravitz， 从 前 效力 于 NSA, 拥有 DSA fy eA"), HE NIST RE”, 


为 了 公众 的 利益 ，NIST 打算 使 该 DSS 技术 可 以 在 全 世界 免费 使 用 。 我 们 相信 
该 技术 可 以 取得 专利 ， 并 且 没 有 其 他 专利 适用 于 DSS， 但 是 在 专利 发 布 之 前 我 们 不 
能 做 出 太 多 保证 。 


尽管 如 此 ， 还 是 有 三 个 专利 权 拥 有 者 声称 DSA 侵犯 了 他 们 的 专利 : Diffle-Hellman 
(参见 22. 1 FF)" Merkle-Hellman (参见 19. 2 节 )520 和 Schnorr (参见 21. 3 节 )0398] 。 
最 麻烦 的 是 Schnorr 专利 ， 另 外 两 个 专利 于 1997 年 到 期 ， 而 Schnorr 专利 直到 2008 年 都 
有 效 (这 本 书 原 书 出 版 于 1996 一 一 编辑 注 ) Schnorr 算法 的 研制 没有 使 用 美国 政府 的 经 
费 ， 与 PKP 专利 不 一 样 ， 美 国政 府 对 Schnorr 专利 无 使 用 权 ， 并 且 Schnorr 在 全 世界 为 他 
的 算法 申请 了 专利 。 即 使 美国 法 庭 判决 对 DSA 有 利 ， 也 不 清楚 世界 上 其 他 法 庭 将 怎么 判 。 
跨国 公司 会 采用 在 某 些 国家 合法 ， 而 在 另外 的 国家 又 侵权 的 标准 吗 ? 这 个 问题 有 待 解 决 。 
在 本 书 编写 过 程 中 该 问题 在 美国 仍 悬 而 未 决 。 

1993 年 7 H, NIST 建议 给 PKP 一 个 独家 的 DSA 专利 许可 证 60 。 由 于 公众 强烈 地 抗 
议 ， 致 使 协商 失败 ， 标 准 在 没有 协议 的 情况 下 颁布 了 。NIST ER : 


oer NIST 讨论 了 可 能 的 违反 专利 的 索赔 ， 甚 至 包括 无 理 的 索赔 。 


因此 标准 是 官方 的 ， 诉 讼 的 威胁 是 存在 的 ， 并 且 没 有 人 知道 该 怎么 办 。NIST 说 如 果 将 
DSA 用 于 政府 合同 ， 它 将 帮助 反对 的 人 们 提出 对 专利 的 诉讼 。 看 起 来 每 个 人 都 拥有 自己 。 
ANSI 有 一 个 使 用 DSA WRITERE ER, NIST 在 政府 范围 内 标准 化 DSA。 壳 牌 石 油 公 
司 已 在 将 DSA 成 为 国际 标准 。 我 知道 没有 其 他 的 人 赞同 BSA 标准 。 


20.2 DSA 的 变型 


这 种 变型 使 签名 者 在 计算 上 变 得 容易 ， 因 为 不 必 计 算 & 25。 所 有 的 参数 都 与 DSA 一 
样 。 对 消息 m 签名 时 ，Alice 产生 两 个 长 度 都 小 于 q 的 随机 数 上 和 d。 签 名 过 程 如 下 
r= (g* mod p) mod q 
s= (H(m) + zxr) Xd mod q 
t= kd mod q 
Bob 通过 计算 验证 签名 : 
w= t/s mod q 
ui= (H(m) X w) mod q 
u: = (rw) mod q 
如 果 7r 二 ((g% Xy) mod p) mod g， 那 么 签名 被 验证 。 
第 二 个 变型 使 验证 者 计算 更 容易 n>” 。 所 有 的 参数 与 DSA 一 样 。 对 消息 m 签名 时 ， 
Alice 产生 一 个 小 于 q 的 随机 数 &。 签 名 如 下 : 
r= (g* mod p) mod q 
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s= kX (H(m) 十 mr) mod q 
Bob 通过 计算 验证 签名 : 
ul = (H(m) X s) mod q 
u: = (sr) mod q 

WR r=((g" Xy) mod p) mod g， 那 么 签名 被 验证 。 

另 一 个 DSA 变型 允许 成 批 地 验证 。Bob 可 以 成 批 地 验证 签名 5 。 如 果 它 们 都 有 效 ， 
他 可 以 如 此 。 如 果 任 何 一 个 无 效 ， 那 么 他 必须 找到 它 。 不 幸 的 是 ， 这 种 方法 并 不 安全 ， 签 名 
者 或 验证 者 可 以 产生 一 系列 满足 准则 的 伪造 签名 。 

还 有 DSA 产生 素数 的 变型 ， 一 个 苦 入 g Alp 内 用 来 产生 素数 的 参数 。 这 种 方案 是 否 降 
低 了 DSA 的 安全 性 仍然 不 知道 。 

d) 选择 一 个 至 少 160 位 的 任意 序列 ， 记 为 S。g 表示 S 的 位 长 度 。 

(2) + U=SHA(S)@SHA((S+1) mod 28), SHA 是 安全 的 散 列 算法 (参见 18.7 节 )。 

(3) 通过 设置 U 的 最 高 位 和 最 低位 为 1 而 形成 g。 

(4) 检验 9 是 否 为 素数 。 

(5) 用 了 表示 gog、S、C 和 SHA(S) 的 连接 。C 是 32 个 0 位 。 

(6) p=p—(p mod q) +1. 

(7) p=ptgq. 

(8) 如 果 p 中 的 c 为 0x7fffffff， 跳 到 第 (1) 步 。 

(9) 检验 p 是 否 为 素数 。 

(10) WR p 是 合 数 ， 跳 到 第 (7) 步 。 

这 种 变型 的 简洁 之 处 是 不 用 存储 用 来 产生 p 和 9 的 C 和 S 的 值 。 它 们 已 嵌入 p 中 。 对 
于 像 智 能 卡 这 样 没有 大 量 存储 器 的 应 用 ， 这 是 一 个 大 的 优点 。 


20.3 GOST 数字 签名 算法 


这 是 俄罗斯 的 数字 签名 标准 。 官 方 称 为 GOST R34. 10—941, A5 DSA 非常 相 
似 ， 并 且 使 用 了 下 面 的 参数 : 

z 三 一 个 长 度 在 509 一 512 位 或 1020~1024 位 的 素数 。 

qd 一 一 个 长 度 在 254 一 256 位 ， 并 与 p 一 1 互 素 的 因子 。 

a 二 任何 小 于 p 一 1 并 且 满 足 a? mod p=1 HR. 

Zz 二 一 个 小 于 q HR. 

y 王 a Kp. 

算法 同样 使 用 了 一 个 单 向 散 列 函数 互 (z)。 标 准 指定 了 GOST R34. 11 一 94 (参见 18.11 
节 )， 一 个 基于 GOST 对 称 算 法 的 函数 (参见 14. 1 FS, 

前 面 3 个 参数 p、gq 和 a 是 公开 的 ， 并 且 对 网 络 中 的 所 有 用 户 都 是 公共 的 。 私 人 密 钥 是 
Z， 公 开 密 钥 是 y。 

对 消息 m 签名 时 : 

(1) Alice 产生 一 个 小 于 gq 的 随机 数 &。 

(2) Alice 产生 : 


vr i wy 


r= (a* mod p) mod q 
s= (xr +k(H(m)) mod q 
如 果 Hmn) mod g 二 0， 那么 设置 它 等 于 1。 如 果 + 二 0， 那 么 男 选 一 个 并 重新 开始 。 签 名 是 
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两 个 数 : r mod 27° Fil s mod 27° 。 她 将 这 些 数 发 送 给 Bob. 
(3) Bob 通过 计算 验证 签名 : 
v= H(m)** mod q 
zı = (sv) mod q 
((q—r) Xv) mod q 
u= ((a*! X y?) mod p) mod q 


Z2 


如 果 wu 二 r+， 那 么 签名 被 验证 。 
本 方案 与 DSA 的 区 别 在 于 : 在 DSA 中 ,由 于 *=(zr 十 & '(H(m)))modq, RT AR 
的 验证 等 式 。 令 人 感 兴趣 的 是 ，g 是 256 位 。 绝 大 多 数 西 方 密码 学 家 认为 g 为 160 位 就 满足 
了 。 这 也 许 反映 了 俄罗斯 倾向 于 使 它 更 安全 。 
该 标准 在 1995 年 年 初 已 开始 使 用 ， 并 且 对 于 “特殊 使 用 ”是 非 密 的 一 一 正如 此 义 。 


20.4 离散 对 数 签名 方案 


ElGamal, Schnorr (参见 21. 3 节 ) 和 DSA 签名 方案 都 非常 相似 。 事 实 上 ， 它 们 仅仅 是 
基于 离散 对 数 问 题 的 一 般 数字 签名 的 3 个 例子 。 与 其 他 成 千 上 万 的 签名 方案 一 样 ， 它 们 是 同 
一 系列 的 一 部 分 903。 

选择 一 个 大 素数 p 和 g，g 是 p 一 1 或 p 一 1 的 大 素数 因子 。 然 后 选择 g， 其 值 在 1~p 
并 满足 g' 圭 1(mod p)。 所 有 这 些 数 都 是 公开 的 ， 并 且 对 组 中 的 用 户 都 是 公共 的 。 私 人 密 钥 
工 小 于 gq。 公 开 密 钥 y=g" mod p. 

对 消息 m 签名 时 ， 首 先 选 择 一 个 小 于 g 并 互 素 的 随机 数 。 如 果 g 也 是 素数 ， 任 何 小 于 q 
的 数 都 能 工作 。 首 先 计 算 : 

r = g* mod p 
现在 ， 一般 的 签名 等 式 (signature equation) 变 成 如 下 形式 : 
ak = b+ cx mod q 
系数 a、b 和 c 根据 情况 而 变 。 表 20-4 中 每 行 给 出 了 6 个 可 能 值 。 


表 20-4 a、b 和 c(r =r mod q) 的 可 能 置换 








+r cts m +mr' Ers 1 
+r'm Es 1 ms tr's 1 
tr'm Ems 1 





验证 签名 时 ， 接 收 者 必须 证 实 : 
r° = gy mod p 
这 叫做 验证 等 式 (verification equation). 
K 20-5 列 出 了 来 自 上 表 第 一 行 忽略 了 正 、 负 的 a、b 和 * 的 可 能 的 签名 和 验证 等 式 。 


表 20-5 离散 对 数 签名 方案 













签名 等 式 验证 等 式 验证 等 式 
(1) r'k=st+mz mod q i r” =g'y” mod p (4) sk=m+r'z mod q rs=g"y" mod p 
(2) r'k=m+sz mod q r” =g"y* mod p (5) mk=s+r'z mod q r™=g'y” mod p 


(3) sk=r'+mzx mod q rs=g" y” mod p (6) mk=r'+sx mod q r™ = g" y mod p 





这 是 6 个 不 同 的 签名 方案 ， 加 上 负 号 总 共 是 24 个 ， 使 用 列 出 的 a、6& 和 < 的 其 他 可 能 
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值 ， 则 总 数 是 120 个 。 

ElGamal5 5250 和 DSA REFR (4)， 其 他 方案 基于 式 (20l, Schno- 
rs0 同 其 他 方案 05 一 样 ， 基 于 式 [5]。 并 且 式 (1) 可 修改 产生 文献 [1630] 中 的 方 
案 。 剩 下 的 等 式 都 是 新 的 。 

可 以 定义 -来 产生 更 多 类 似 DSA 的 方案 : 

r = (g* mod p)mod q 
使 用 相同 的 签名 等 式 ， 并 且 定 义 如 下 验证 等 式 : 
u=abmodg 
us=a lc mod q 
r= (g" y2 mod p) mod q 

此 外 还 有 两 种 其 他 的 可 能 性 "7 。 你 可 以 对 120 个 方案 进行 类 似 处 理 ， 将 产生 总 共 
480 个 基于 离散 对 数 的 数字 签名 方案 。 

但 是 还 有 更 多 的 。 各 种 变化 能 产生 多 达 13 000 种 变型 (并非 所 有 的 变型 都 是 有 效 
的 )[to.74] 。 

使 用 RSA 来 进行 数字 签名 的 好 处 是 具有 消息 恢复 (message recovery) 的 特征 。 验 证 
RSA 签名 时 需 计 算 m。 然 后 比较 从 消息 计算 出 来 的 m， 从 而 看 消息 的 签名 是 否 有 效 。 在 前 
面 的 方案 中 ， 当 计算 签名 时 ， 不 能 恢复 m。 在 使 用 验证 等 式 中 ， 需 要 一 个 候选 m。 当 然 ， 对 
于 前 面 所 有 的 签名 方案 ， 都 可 以 构造 出 消息 恢复 的 变型 。 

签名 时 ， 首 先 计算 : 

r = mg* mod p 
并 且 在 签名 等 式 中 用 1 替代 m。 然 后 可 以 构造 验证 等 式 ， 从 而 使 m 可 以 直接 计算 。 可 以 用 
类 似 DSA 的 方法 : 
r = (mg* mod p) mod q 

所 有 变型 具有 相同 的 安全 性 ， 因 此 应 选择 一 个 容易 计算 的 方案 。 倒 数 的 计算 降低 了 大 多 
数 方案 的 速度 。 在 这 些 方案 中 有 一 个 允许 不 用 倒数 来 计算 签名 等 式 和 验证 等 式 ， 并 可 以 给 出 
消息 恢复 的 方案 ， 它 就 是 p-NEW FRO, 

r= mg * mod p 

s=k—rx mod q 
并 且 m 可 通过 下 式 恢 复 〈 并 且 验 证 签名 ) : 

m= gyr mod p 

FEA AR AAK ETE, RA EM Ee, 

这 是 研究 中 引 人 注 目的 部 分 。 所 有 基于 离散 对 数 的 数字 签名 方案 都 有 一 个 相关 的 框架 。 
从 我 的 观点 来 讲 ， 最 终 Schnorr!) 和 DSA‘! 不 存在 任何 专利 之 争 。DSA 不 是 Schnorr 也 
不 是 ElGamal 的 导出 形式 ， 这 三 种 形式 都 是 通用 结构 的 例子 ， 而 通用 结构 是 没有 专利 的 。 


20.5 Ong-Schnorr-Shamir 签名 方案 


这 种 签名 方案 使 用 多 项 式 模 nhh, wek n (不 必 知 道 n 的 因子 分 解 )， 
再 选择 一 个 与 n 互 素 的 随机 整数 &k， 计 算 h: 
h =—k?* mod n =— (k`)? mod n 
hh 和 n 是 公开 密 钥 ，& 是 私人 密 钥 。 
对 消息 M 签名 时 ， 首 先 产生 一 随机 数 r, rn 互 素 。 然 后 计算 : 
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Sı, = 1/2 X (M/r+r) mod n 
S, = k/2 X (M/r—r) mod n ’ 
S, 和 S: 就 是 签名 。 
验证 时 ， 只 需 验 证 : 
Si +h X S = M(mod n) 

该 方案 基于 二 次 多 项 式 。 当 它 首 次 在 [1217] 中 提出 时 ， 曾 悬赏 100 美元 对 它 进行 密码 
分 析 。[1255、18] 证 明了 它 是 不 安全 的 ， 但 是 方案 的 设计 者 并 未 退却 ， 他 们 又 提出 了 基于 
三 次 多 项 式 的 算法 ， 同 样 也 被 破译 ”55] 。 然 后 提出 了 四 次 的 形式 ， 但 又 被 破译 了 5 55 。 解 
决 这 些 问 题 的 变型 在 [1134] 中 提出 。 


20.6 ESIGN 签名 方案 


ESIGN 是 由 日 本 NTT 提出 的 数字 签名 方案 "5 5] 。 对 同样 的 密 钥 和 签名 长 度 ， 它 的 安 
全 性 至 少 与 RSA 或 DSA 一 样 ， 但 速度 要 快 得 多 。 

私人 密 钥 是 一 对 大 素数 p 和 gq， 公开 密 钥 为 n: 

n= pq 

H 是 作用 于 消息 上 的 散 列 函数 ， 并 且 Hn) 处 于 0~n 一 1]。 另 外 ， 还 有 一 个 安全 参 
数 &， 后 面 将 简要 地 讨论 它 。 

(1) Alice 选择 一 个 小 于 pg 的 随机 数 工 。 

(2) Alice 计算 : 

wKFSF (H(m)—2* mod n)/ pq 的 最 小 整数 
s=a+((Cw/kr*') mod p) pq 

(3) Alice RIX s 给 Bob, 

(4) 验证 签名 时 ，Bob 计算 st mod n。 他 还 要 计算 a, a 是 大 于 等 于 n 除 以 3 的 位 数 的 
两 倍 的 最 小 整数 。 如 果 Hm) 小 于 等 于 s* mod n， 并 且 如 果 s* modn 小 于 再 (m) 十 22， 那 么 
就 认为 该 签名 有 效 。 

利用 预计 算 可 加 快 这 个 算法 。 预 计算 可 在 任何 时 候 进行 ， 并 且 与 待 签 名 的 消息 无 任何 关 
系 。 在 选择 x 之 后 ，Alice 可 以 将 第 (2) 步 分 成 两 小 步 ， 第 一 小 步 进 行 预计 算 : 

(2a) Alice 计算 : 

u = x* mod n 
v = 1/ (kz) mod p 
(2b) Alice 计算 : 
w= KFET(Hm)—u)/pq) 的 最 小 整数 ; 
s= x+ (wo mod p) pg 

对 通常 使 用 的 数 的 长 度 ， 这 种 预计 算 可 使 签名 过 程 快 10 倍 。 几 乎 所 有 困难 的 事情 都 在 
预计 算 阶 段 完成 。 关 于 用 模 运 算 加 快 ESIGN 算法 的 讨论 见 文献 L1625、1624]。 该 算法 经 扩 
展 后 也 可 用 于 椭圆 曲线 。 


20.6.1 ESIGN 的 安全 性 


最 初 上 被 置 为 2025] ， 算法 很 快 被 Ernie Brickell 和 John DeLaurentis We, HHH 
攻击 扩展 到 3。 算法 的 改进 版 本 中 被 Shamir 破译 。ESIGN 是 这 种 算法 的 最 新 形式 ， 另 一 
新 的 攻击 "对 ESIGN 不 起 作用 。 
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最 近 设 计 者 推荐 & 值 为 : 8、16、32、64、128、256、512 和 1024。 他 们 同时 建议 p 和 4g 各 
自 至 少 为 192 位 ， 使 得 n 至 少 为 576 位 长 。 在 这 些 参数 的 情况 下 ， 设 计 者 估计 ESIGN 与 RSA 
或 Rabin 同样 安全 ， 并 且 他 们 的 分 析 表 明 其 速度 比 RSA, ElGamal 及 DSA tk’, 


20.6.2 专利 

ESIGN 在 美国 5? 、 加 拿 大 、 英 国 、 法 国 、 德 国 和 意大利 申请 了 专利 。 获 得 算法 许可 
证 的 联系 地 址 是 : Intellectual Property Department, NTT, 1-6 Uchisaiwai-cho, 1-chome, 
Chiyadaku，100 Japan。 


20.7 细胞 自动 机 


Papua Guam 研究 出 了 一 种 新 奇 的 思想 ， 即 在 公开 密 钥 系 统 中 使 用 细胞 自动 机 。 这 
种 系统 还 太 新 ， 未 做 广泛 的 研究 ， 其 最 初 的 测试 使 人 觉得 它 有 一 些 密 码 上 的 弱点 ,但 是 
仍然 是 一 个 有 希望 的 研究 领域 。 细 胞 自动 机 具有 这 样 的 特点 ， 纵 然 它 们 是 可 逆 的 ， 但 是 用 寻 
找 后 继 的 规则 反 过 来 计算 某 个 任意 状态 的 前 驱 是 不 可 能 的 。 听 起来 这 很 像 单 向 函数 。 


20.8 其 他 公开 密 钥 算 法 
近 几 年 来 ， 其 他 许多 公开 密 钥 算法 不 断 地 被 提出 又 被 破译 。Matstumoto-Imai $f OU 
在 文献 [450] 中 被 破译 。Cade 算法 首先 于 1985 年 提出 ，1986 年 被 破译 ”1， 同 年 又 得 到 
增强 中。 除了 这 些 攻击 外 ， 还 有 对 有 限 域 上 多 项 式 分 解 的 一 般 攻 击 “ 。 所 有 安全 性 建立 
在 有 限 域 上 的 多 项 式 分 解 的 算法 即使 不 是 彻底 地 值得 怀疑 ， 也 应 该 打上 问号 。 
Yagisawa 算法 结合 了 模 p 指数 运算 和 模 p 一 1 算术 运算 “中 ,在 文献 [256」 中 被 破译 。 另 
一 种 公开 密 钥 算法 由 Tsujii-Kurosawa, Itoh-Fujioka-Matsumoto 提出 0 ， 它 也 是 不 安全 的 5 。 
第 三 种 系统 Luccio- Mazon 同样 不 安全 。 一 种 基于 双 有 理 置换 所 细 的 签名 方案 在 提出 后 就 被 
破译 了 5 Tatsuaki Okamoto 有 多 个 签名 方案 : 一 个 被 证 明 与 离散 对 数 问题 一 样 安全 ， 另 一 
个 被 证 明 与 离散 对 数 问题 和 大 数 分 解 问题 一 样 安全 。 类 似 的 方案 见 文献 L709]. 
Gustavus Simmons 建议 用 J 代数 作为 公开 密 钥 算法 的 基础 ”551 ， 该 想法 在 发 现 了 多 
项 式 分解 和 有 效 方法 之 后 放弃 了 "J 。 关 于 特殊 的 多 项 式 半 群 也 进行 了 一 些 研 究 ”* "5 ， 但 
迄今 未 得 出 任何 结论 。Harald Niederreiter 提出 了 基于 移 位 寄存 器 序列 的 公开 密 钥 算法 …"" 。 
还 有 一 种 基于 Lyndon 字 54259 ， 另 一 种 基于 命题 演算 咏 1 。 最 近 的 公开 密 钥 算法 从 矩阵 覆盖 
问题 中 获得 了 安全 性 6524 。Tatsuaki Okamoto 和 Kazuo Ohta 在 文献 [1212] 中 比较 了 许多 种 
数字 签名 方案 。 
要 构造 一 个 胃 新 的 公开 密 钥 算法 看 来 不 太 可 能 。1988 Æ, Whitfield Diffie 提出 绝 大 多 
数 公 开 密 钥 算 法 都 基于 以 下 三 种 疑难 问题 之 一 [2 ， 
(1) 背包 问题 : 给 定 一 个 由 互 不 相同 的 数组 成 的 集合 ， 找 出 一 个 子 集 其 和 为 N。 
(2) 离散 对 数 : WR p 是 素数 ，g AMERA, Ki WE g*=M(mod p). 
(3) 因子 分 解 : WN 是 两 个 素数 的 乘积 ， 则 
(a) 分 解 n。 
(b) 给 定 整数 M 和 C， 和 寻找 4d WEM =Clmod N). 
(c) 给 定 整 数 e。 和 C， 寻找 M WEM =Clmod N), 
(d) 给 定 整数 zx， 判 定 是 否 存在 整数 y， 满足 =y (mod N). 
据 Diffie?" 称 离 散 对 数 问题 由 JJ. Gill 提出 ， 因 子 分 解 问 题 由 Knuth 提出 ， 而 背包 问 
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题 则 由 Diffie 本 人 提出 。 
公开 密 钥 密码 学 如 此 狭窄 的 数学 基础 令 人 担忧 。 因 子 分 解 或 者 离散 对 数 问题 的 突破 将 使 
所 有 公开 密 钥 算 法 不 安全 。Diffie 指出 有 两 个 因素 缓解 了 这 种 危险 [2? , 

(1) 目前 公开 密码 学 所 依赖 的 运算 〈 乘 法 、 指 数 运算 和 因子 分 解 ) 都 是 基本 的 
数学 现象 。 几 个 世纪 以 来 它们 都 是 绩 密 的 数学 研究 的 主题 ， 用 于 公开 密 钥 密码 系统 
之 后 引起 了 人 们 更 大 的 兴趣 ， 这 只 会 增强 而 不 会 虽 失 我 们 的 信心 。 

(2) 进行 大 数 计 算 的 能 力 在 持续 地 增加 ， 所 以 在 实现 系统 时 可 用 充分 大 的 数 ， 

只 有 在 因子 分 解 、 对 数 问题 或 求 根 取得 重大 突破 时 才 会 使 系统 脆弱 。 


如 我 们 已 经 看 到 的 一 样 ， 并 不 是 所 有 基于 这 些 问 题 的 公开 密 钥 算 法 都 是 安全 的 。 公 开 密 
钥 算 法 的 强度 更 多 地 取决 于 它 所 基于 问题 的 复杂 性 ， 难 题 并 不 一 定 都 包含 了 强 的 算法 。Adi 
Shamir 列 出 了 三 条 理由 说 明 为 什么 会 这 样 025 ， 
d) 复杂 性 理论 通常 处 理 问题 的 单个 孤立 的 实例 ， 密 码 分 析 者 常常 用 一 大 堆 统 
计 相 关 的 问题 来 解决 一 一 用 相同 密 钥 加 密 的 多 个 密 文 。 
(2) 一 个 问题 的 计算 复杂 性 是 用 它 的 最 坏 和 平均 行为 来 度量 的 。 一 个 有 用 的 密 
码 ， 其 问题 必然 在 任何 情况 下 都 难 解 。 
(3) 一 个 任意 的 难题 不 一 定 能 转变 成 一 个 密码 系统 ， 只 有 在 这 个 问题 中 能 插入 
陷 门 信息 ， 并 且 仅 当 拥 有 该 信息 时 可 能 存在 捷径 解法 才 行 。 
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鉴别 方案 





21. 1 Feige-Fiat-Shamir 算法 


Amos Fiat 和 Adi Shamir 的 鉴别 和 数字 签名 方案 已 在 [566、567] 中 讨论 了 。Urid 
Feige, Fiat 和 Shamir 改进 这 个 算法 使 之 成 为 身份 的 零 知识 证 明 ”3]。 这 是 最 著名 的 身份 
的 零 知识 证 明 。 

1986 年 7 月 9 日 ， 三 位 设计 者 递交 了 一 份 美国 专利 申请 "2 。 由 于 其 在 军事 上 的 潜在 应 
用 ， 申 请 由 军 方 审阅 。 终 于 专利 局 有 了 回应 ， 但 不 是 专利 ， 而 是 一 个 密令 。1987 年 1 月 6 
日 ， 在 六 个 月 期 限 到 达 的 前 三 天 ， 专 利 局 应 军 方 的 要 求 下 达 了 命令 。 他 们 宣称 “…… 泄 露 或 
公布 关键 内 容 …… 将 危害 国家 安全 ……” 并 命令 设计 者 通知 所 有 得 到 该 成 果 的 美国 人 ， 未 经 
授权 泄露 此 项 研究 将 处 以 两 年 监禁 ，1 万 美元 罚款 ， 或 上 述 两 项 并 罚 。 而 且 ， 设 计 者 必须 通 
知已 获取 该 情报 的 外 国 专利 局 和 商标 局 的 官员 。 

这 种 做 法 荒 廖 至 极 。1986 年 的 整个 下 半年 ， 设 计 者 在 以 色 列 、 欧 洲 和 美国 的 会 议 上 宣 
布 了 此 项 成 果 。 设 计 者 甚至 不 是 美国 公民 ， 所 有 的 工作 都 是 在 以 色 列 的 Weizmann 研究 所 进 
行 的 。 

通知 传 遍 了 整个 学 术 界 和 出 版 界 。 两 天 内 ， 密 令 被 取消 。Shamir 和 其 他 人 认为 是 在 
NSA 操纵 下 撤销 了 命令 ， 但 没有 得 到 任何 官方 的 解释 。 此 次 事件 的 详情 见 文献 C936]. 


21.1.1 简化 的 Feige-Fiat-Shamir 身份 鉴别 方案 


在 发 放 私 人 密 钥 之 前 ， 仲 裁 者 随机 选取 一 个 模 数 n，n 为 两 个 大 素数 之 乘积 。 实 际 上 , nn 
应 至 少 为 512 位 ， 尽 量 接近 1024 WM. n 值 可 以 在 一 组 证 明 者 之 间 共 享 〈 选 择 一 个 Blum 整数 
更 容易 ， 但 它 不 安全 ) 。 

为 了 产生 Peggy 的 公开 密 钥 和 私人 密 钥 ， 可 信和 仲裁 者 选取 一 个 数 v, v 为 对 模 n 的 二 次 
剩余 。 换 言 之 ， 选 择 v 使 得 zx” 圭 v(mod n) 有 一 个 解 且 v，mod n FE. v 就 是 Peggy HA 
开 密 钥 。 然 后 计算 满足 s=sqrt(v ')(mod n) 的 最 小 ;， 将 它 作 Peggy 的 私人 密 钥 。 

这 样 ， 身 份 鉴别 协议 如 下 进行 : 

(1) Peggy 选取 一 个 随机 数 r+，r 二 n， 接 着 计算 r=r mod n, HH r 发 送 给 Victor. 

(2) Victor 发 送 一 个 随机 位 b 给 Peggy. 

(3) 如 果 5 二 0，Peggy 将 r 发送 给 Victor; WR b=1, Peggy 发 送 y=rXs mod n. 

(4) 如 果 b=0, Victor WHE r=r° mod n， 以 证 实 Peggy 知道 sqrt(x); 如 果 o=1, 
Victor 验 证 r=y Xv mod n， 以 证 实 Peggy 知道 sqrt(v !)。 

这 个 协议 是 单 轮 鉴定 (叫做 一 次 鉴定 合格 (accreditation))。Peggy 和 Victor 重复 这 个 协议 
次， 直到 Victor 确信 Peggy 知道 ;， 这 是 一 个 分 割 选择 协议 。 如 果 Peggy 不 知道 ;， 她 可 以 选 
取 r 以 便 在 Victor 送 给 她 0 时 欺骗 Victor， 或 者 选取 > 以 便 在 Victor 送 给 她 1 时 欺骗 Victor, 
但 她 不 能 同时 做 到 上 述 两 点 。 她 欺骗 Victor 一 次 的 可 能 性 为 50%，t 次 的 可 能 性 为 1/2. 

攻击 这 个 协议 的 另 一 种 方法 是 Victor 试图 冒充 Peggy。 他 和 另 一 个 验证 者 Valerie 开始 
进行 这 个 协议 。 在 第 (1) 步 ， 他 重新 使 用 他 曾 看 到 Peggy 用 过 的 >， 而 不 是 随机 选取 >。 然 
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而 Valerie 在 第 (2) 步 选取 与 Victor 所 选取 的 奇数 值 相同 的 可 能 性 为 1/2。 所 以 ， 他 欺骗 
Valerie 的 可 能 性 为 50%。 他 欺骗 她 i 次 的 可 能 性 为 1/2'。 

要 避免 这 点 ，Peggy 不 能 重新 使 用 r+。 如 果 她 重新 使 用 +， 在 第 (2) 步 ，Victor 发 给 
Peggy 另外 一 个 随机 位 ， 那 么 他 能 获得 Peggy 的 两 种 应 答 。 从 中 ，Victor 能 计算 出 *， 然 后 
冒充 她 。 


21. 1.2 Feige-Fiat-Shamir 身份 鉴别 方案 


在 文献 [544、545] 中 ，Feige、Fiat 和 Shamir 证 明 : 并 行 构造 可 以 增加 每 轮 鉴 定 的 数 
量 ， 以 减少 Peggy 和 Victor 交互 的 次 数 。 

首先 如 上 产生 ”， n 为 两 个 大 素数 之 积 。 要 产生 Peggy 的 公开 密 钥 和 私人 密 钥 ， 先 选取 
k 个 不 同 的 数 : vis ve. > w, KH v 为 对 模 n NH KAR. MAS, x’ =v, mod n 有 一 
个 解 且 v; 'mod n FE. $ uv, ws ts u 作为 公开 密 钥 。 然 后 计算 满足 s, = sqrt) 
mod n 的 最 小 值 s;。 串 sis s25 tty s 作为 私人 密 钥 。 

协议 为 : 

(1) 由 Peggy 选取 一 个 随机 数 +，r 二 n。 然 后 计算 z 王 一 mod 2， 并 将 x 发 送 给 Victor. 

(2) Victor 将 一 个 位 随机 二 进 制 串 61，6;，…，bi 发 送 给 Peggy. 

(3) Peggy 计算 y=rX (sh Xs Kee XK sh) mod n (她 将 与 65; 二 1 对 应 的 s: 值 相 乘 。 如 果 
Victor 的 第 1 位 为 1， 则 用 s; ， 做 乘法 因子 ; 如 果 第 1 位 为 0， 则 不 用 s 做 乘法 因子 ) 。 她 将 
y RIK Victor, 

(4) Victor 验证 r= y? (uh Xu Xe Xv) mod n (他 将 随机 二 进 制 中 的 v 值 相 乘 。 如 
果 第 1 位 为 1， 则 用 wv 做 乘法 因子 ; 如 第 1 位 为 0， 则 不 用 v 做 乘法 因子 ) 。 

Peggy 和 Victor 重复 这 个 协议 上 次 ， 直 到 Victor 确信 Peggy MH si, s2, cts Seo 

Peggy 欺骗 Victor 的 概率 为 1/2* 。 设 计 者 建议 ， 取 &=5，: 一 4， 则 作弊 者 欺骗 Victor 
的 概率 为 1/2”。 如 果 你 想 要 更 安全 些 ， 可 增 大 这 两 个 值 。 


21.1.3 例子 


让 我 们 看 这 个 协议 在 小 数 情况 下 如 何 工 作 。 
WR ”一 35〈 两 素数 为 5 和 7)， 那 么 可 能 的 二 次 剩余 为 : 
l: 2°=1 mod 35 有 解 : x 二 1，6，29 或 34。 

4: x°=4 mod 35 Af: zx 一 2，12，23 或 33。 
9: 2°=9 mod 35 有 解 : zx 一 3，17，18 或 32。 
11: z’=11 mod 35 有 解 : x=9, 16, 19 或 26。 
14; 2°=14 mod 35 有 解 : x 二 7 或 28。 

15; 2°=15 mod 35 有 解 : zx 一 15 或 20。 

16; x°=16 mod 35 有 解 : x=4, 11, 24 31, 
21: x°=21 mod 35 有 解 : zx 一 14 或 21, 

25; x°=25 mod 35 有 解 : c=5 RM 30, 

29: x°=29 mod 35 有 解 : x=8, 13, 22 或 27。 
30: x°=30 mod 35 有 解 : z 一 10 或 25。 

逆 元 〈 模 35) 和 它们 的 平方 根 为 : 


第 21 章 鉴别 方案 - 363 


v v s=sqrt(v ') 
1 1 1 
4 9 3 
9 4 2 
11 16 4 
16 11 9 
29 29 8 


注意 14、15、21、25 和 30 对 模 35 没有 逆 元 ， 因 为 它们 与 35 不 互 素 。 这 很 容易 理解 ， 
因为 35 有 Be ged(z, 35)=1 (8411.37). 

所 以 ，Peggy M4 MA (4, 11, 16, 29} 作为 其 公开 密 钥 。 相 应 的 秘密 密 钥 为 (3，4， 
9，8}。 下 面 为 该 协议 的 一 Mi 

(1) Peggy 选择 一 个 随机 数 r=16, 计算 16° mod 35=11 并 发 送 给 Victor。 

(2) Victor 发 送 一 个 随机 二 进 制 串 (1, 1, 0, 1} 给 Peggy. 

(3) Peggy if @ 16 X ((3') X (4') KX (9°) X (8')) mod 35 二 31， 并 发 送 给 Bob。 

(4) Bob 证 实 31? X ((4') X (11!) X (16°) X (29')) mod 35 一 11。 

Peggy 和 Victor 重复 这 个 协议 ， 每 次 用 一 个 随机 数 r+， 直 到 Victor 满意 为 止 。 

对 于 这 种 小 的 整数 ， 没 有 实际 上 的 安全 性 。 但 当 为 512 位 或 更 长 时 ，Victor 不 可 能 知 
i Peggy 的 密 钥 ， 除 非 她 本 来 就 知道 


21.1.4 加 强 方案 


将 身份 鉴别 信息 艇 人 协议 中 是 可 能 的 。 假 定 工 是 代表 Peggy 身份 的 二 进 制 串 : 她 的 名 
字 、 住 址 、 社 会 保险 号 、 帽 子 大 小 、 喜 爱 的 软饮料 牌子 等 个 人 信息 。 用 一 个 单 向 散 列 函数 
H(z) 计算 HOA, j), XE j 为 跟 在 工 后 面 的 一 个 小 随机 数 。 找 出 一 系列 7 值 使 AC, j) 
为 对 模 的 二 次 剩余 。 互 (T，7) ÆR u, w, s UGH] 不 必 是 二 次 剩余 )。Peggy 的 公 
开 密 钥 为 1 和 这 一 串 7 值 。 在 协议 第 一 步 以 前 ， 她 将 工 和 这 一 串 7 值 发 送 给 Victor( 或 者 
Victor 从 公告 板 之 类 的 地 方 获取 )， 然 后 Victor 从 HCI, j) PRA v, Wes ts wo 

在 Victor 与 Peggy 成 功 地 完成 协议 之 后 ， 他 假定 Trent ie nage oe alii 并 通过 
给 她 由 了 派生 出 来 的 v; 的 平方 根 证 明了 了 和 Peggy 的 联系 。 见 5.2 节 的 背景 资料 。) 

Feige, Fiat 和 Shamir 给 出 了 如 下 实现 记录 54.545] ， 


对 非 理 想 的 散 列 函数 ， 在 工 后 跟 一 个 长 的 随机 串 尺 使 随机 化 是 可 行 的 。 这 个 
串 由 仲裁 方 选取 ， 随 工 发 送 给 Victor, 

在 典型 应 用 中 ， & 在 1~18 之 间 选 取 。 较 大 的 尾 值 能 通过 减少 轮 数 以 减少 时 间 
和 通信 复杂 性 。 

n 应 至 少 512 位 长 。( 当 然 ， 从 那 以 后 ， 在 因子 分 解 上 又 有 了 很 大 的 进步 。) 

如 果 所 有 的 用 户 选 取 他 们 自己 的 n， 并 在 一 个 公开 密 钥 文件 中 公布 ， 他 们 就 不 
必需 要 仲裁 者 。 然 而 ， 这 个 类 似 于 RSA 的 变型 使 方案 明显 地 变 得 不 方便 。 


21. 1.5 Fiat-Shamir 签名 方案 


将 这 个 身份 鉴别 方案 变 成 一 个 数字 签名 方案 ， 本 质 上 就 是 将 Victor 变 成 一 个 散 列 函 数 。 
FiatShamir 数字 签名 比 RSA 的 主要 好 处 在 于 速度 ，Fiat-Shamir 数字 签名 只 需要 RSA 的 
1% ~4% 的 模 乘 法 。 在 这 个 协议 里 ， 将 再 用 到 Alice 和 Bob. 
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初始 设置 同 身份 鉴别 方案 。 选 择 ”为 两 个 大 素数 之 积 。 产 生 公 开 密 钥 ww ，vs，…*，vh， 
和 私人 密 钥 s1, s29 cts Ses MÆ s;=sqrt(v; ') mod n. 
(1) Alice 取 i1 个 1~n 之 间 的 随机 整数 : ri ，r;，…，r,， 并 计算 a. t, e, x, 满足 
z;=r; mod n, 
(2) Alice 对 消息 和 这 些 x 串 的 连接 做 散 列 运 算 ， 得 到 一 个 位 序列 : Hn, tis aos ts 2), 
她 将 串 开 始 的 kXzt 位 作为 6; 的 值 ， 其 中 1<j<i, 1<j<k。 
(3) Alice 计算 yrs yoo "s Jei 
yi = r; X (sfa X she X- X she mod n 
(对 于 每 一 个 i, re 值 的 ;; 值 做 乘法 运算 。 如 果 b FFl, WH s; WR 
bi EF 0, WARE sio 
(4) Alice 将 6b;、 ae 发 送 给 Bob， 他 已 经 获取 了 Alice 的 公开 密 钥 : us vs ots Ue 
(5) Bob 计算 zr: Zas "y zi 
zi = y Xv X vh & X vee )mod n 
(Bob 也 是 依据 b ARE.) 注意 z; 应 该 等 于 zi。 
(6) Bob 验证 互 (mm ，z，z，…，z) 开始 的 &X 位 是 Alice 发 送 给 他 的 b, , 值 。 
与 身份 鉴别 方案 一 样 ， 这 种 签名 方案 的 安全 性 正比 于 1/2” 。 它 也 依赖 于 分 解 的 难度 。 
Fiat 和 Shamir 指出 ， 当 分 解 n 的 复杂 性 低 于 2” 时 伪造 一 个 签名 很 容易 。 并 且 ， 由 于 生日 类 
型 的 攻击 (参见 18. 1 节 )， 他 们 推荐 kXzi 应 从 20 至 少 增 至 72， 他 们 建议 取 =9， zt 二 8。 


21. 1.6 改进 的 Fiat-Shamir 签名 方案 

Silvio Micali 和 Adi Shamir 改进 了 Fiat-Shamir JRO, HFE v, w, t, vue 为 前 
个 素数 。 则 vi 二 2，vws 二 3，wvs 王 5 等 。 这 就 是 公开 密 钥 。 

私人 密 钥 sis s29 cts Sp 是 一 个 随机 平方 根 ， 由 os; =sqrt(v; ') mod n 给 出 。 

在 这 个 方案 中 ， 每 个 人 必须 有 一 个 不 同 的 nn 值 。 这 种 改进 使 得 验证 签名 变 得 更 容易 ， 产 
生 签名 所 需要 的 时 间 和 这 些 签名 的 安全 性 不 受 影响 。 








21.1.7 其 他 加 强 方案 

在 文献 [264] 中 给 出 了 一 个 基于 Fiat-Shamir 算法 的 NN 方 身份 鉴别 方案 。 对 Fiat-Shamir 
方案 的 其 他 两 个 改进 方案 在 文献 [1218] 中 提出 ， 另 一 个 变型 在 文献 [1368] 中 给 出 。 
21.1.8 Ohta-Okamoto 身份 鉴别 方案 

这 个 方案 也 是 基于 Feige-Fiat-Shamir 身份 鉴别 方案 的 改进 ， 它 的 安全 性 依赖 于 因子 分 
EME RECS 。 该 方案 的 设计 者 还 编写 了 一 个 多 人 连续 签名 信息 的 多 重 签名 方案 SR 
23. 1 节 )52 "9 ， 该 方案 适合 智能 卡 应 用 5 。 
21.1.9 专利 

Fiat-Shamir 算法 申请 了 专利 "7 。 有 意 取得 算法 应 用 许可 证 的 人 ， 请 与 以 下 地 址 联系 : 
Yeda Research and Development, The Weizmann Institute of Science, Rehovot 76100, Israel, 
21.2 Guillou-Quisquater 算法 

Feige-Fiat-Shamir 算法 是 第 一 个 实用 的 基于 身份 证 明 的 算法 。 它 通过 增加 迭代 次 数 和 每 
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次 迭代 中 鉴别 的 次 数 ， 将 所 需 的 计算 量 减 至 最 小 。 但 对 于 诸如 智能 卡 这 样 的 应 用 ， 该 算法 不 
其 理想 。 因 为 与 外 部 的 信息 交换 很 耗 时 ， 并 且 每 次 鉴别 所 需 的 存储 量 使 卡 中 有 限 的 资源 更 为 
Bik. 

Louis Guillou 和 Jean-Jacque Quisquarer 研究 的 堆 知 识 身份 鉴别 算法 更 适合 于 这 些 应 
用 ”3% 。 它 将 Peggy 和 Victor 之 间 的 信息 交换 和 每 次 交换 中 的 并 行 鉴别 都 控制 至 最 少 。 
每 次 证 明 只 进行 一 次 鉴别 信息 的 交换 。 对 于 同样 的 安全 级 别 ，Guillou-Quisquater 算法 比 
Feige-FiatShamir 算法 所 需 的 计算 量 大 三 倍 。 像 Feige-Fiat-Shamir 算法 一 样 ， 该 身份 鉴别 算 
法 也 可 转换 成 一 个 数字 签名 算法 。 


21.2.1 Guillou-Quisquater 身份 鉴别 方案 


假设 智能 卡 Peggy 欲 向 Victor 证 明 其 身份 。Peggy 的 身份 是 一 些 凭 证 的 集合 : 由 卡 的 
名 称 、 有 效 期 、 银 行 账号 和 其 他 应 用 所 需 的 信息 组 成 的 数据 串 ， 记 为 了 J。 实际 上 ， 和 凭证 可 
能 是 一 个 很 长 的 位 串 ， 通 过 散 列 运算 而 形成 了 ， 但 是 这 个 复杂 过 程 对 协议 无 任何 改变 。) 它 
与 公开 密 钥 相 类 似 。 可 被 所 有 “Peggy” 共 用 的 其 他 公开 信息 是 指数 v 和 模 数 xn， 其 中 是 
两 个 秘密 素数 的 乘积 。 私 人 密 钥 是 B， 通 过 JBY=1(mod n) 计算 得 出 。 

Peggy 将 她 的 凭证 J 发送 给 Victor， 为 了 向 Victor 证 明 这 的 确 是 她 的 凭证 ， 她 必须 让 
Victor 确信 她 知道 B。 协 议 如 下 : 

(1) Peggy 选取 一 个 1~n 一 1 之 间 的 随机 整数 +， 计算 T= 二 x” mod n 并 将 工 发 送 给 Vic- 
tor. 

(2) Victor 选取 一 个 O~v—1 之 间 的 随机 整数 4， 并 发 送 给 Peggy。 

(3) Peggy 计算 D=rB* mod n 并 发 送 给 Victor, 

(4) Victor 计算 T'=D*J4 mod ne WR T=T'(mod n)， 则 鉴别 成 功 。 

数学 表示 并 不 复杂 : 

T 三 也 "J = (BO 4 = rrB*] = P (JB’)4 =r’ = T(mod n) 
其 中 B yj ft J BY=1(mod n), 


21.2.2 Guillou-Quisquater 数字 签名 方案 


这 种 身份 鉴别 方案 可 转变 成 数字 签名 方案 ， 它 也 适用 于 智能 卡 的 应 用 1。 

公开 密 钥 和 私人 密 钥 与 前 面 设置 一 样 ， 协 议 如 下 : 

(1) Alice 选取 一 个 1~? 一 1 之 间 的 随机 整数 >， 并 计算 T=r* mod n。 

(2) Alice 计算 d=H(M, T), HRY M 是 待 签名 的 消息 ， 而 HC) 是 单 向 散 列 函数 。 
由 散 列 函数 产生 的 4 必须 在 ~ul 之 间 52 。 如 果 散 列 函 数 的 结果 不 在 这 个 范围 内 ， 则 它 
必须 减 小 模 数 v。 

(3) Alice 计算 D=rB* mod n。 这 样 签名 就 由 消息 M、 两 个 计算 值 4 MD 以 及 她 的 凭 
证 了 组 成 。Alice 把 签名 发 送 Bob. 

(4) Bob 计算 T'=D*J4 mod 2， 然 后 再 计算 d'=H(m, T'), WHR d=d', HA Alice 
必然 知道 B， 因 而 该 签名 有 效 。 


21.2.3 ”多重 签名 


如 果 多 个 人 想 对 同一 文件 进行 签名 该 怎么 办 ? 简单 的 解决 方法 是 他 们 分 别 对 该 文件 进行 
签名 ， 但 下 面 这 个 签名 方案 更 好 。Alice 和 Bob 对 同一 个 文件 进行 签名 ，Carol 来 验证 签名 。 
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可 以 有 任意 多 人 介入 签名 过 程 。 与 前 面 同样 ，Alice 和 Bob 有 他 们 各 自 唯 一 的 了 和 B 值 : 
Jas Ba) 和 (Js，Bs)。n 和 w 的 值 是 整个 系统 公有 的 。 

(1) Alice 选取 一 个 1~n—1 之 间 的 随机 整数 ras HEIL Ta =r mod n， 并 把 Th 发 送 
给 Bob 。 

(2) Bob 选取 一 个 1 一 ”一 1 之 间 的 随机 整数 rs， 计算 Ts =r mod n, #4 Ts RKB 
Alice。 

(3) Alice 和 Bob 分 别 计 算 T= (T,T,) mod n. 

(4) Alice 和 Bob 分 别 计算 d=H(M, T), HP M 是 待 签 名 的 消息 ，H(zx) 是 单 向 散 
列 函 数 。 散 列 函 数 产生 的 d 必须 在 ~ol ZA"), ARB PS RA EK PS 
内 ， 则 它 必须 减 小 模 数 v. 

(5) Alice 计算 D,=r,B4 mod n， 并 把 Ds 发 送 给 Bob, 

(6) Bob 计算 Dg=rpB% mod n， 并 把 Ds 发 送 给 Alice。 

(7) Alice 和 Bob 计算 D=D,D; mod n。 这 样 签名 就 由 消息 M、 两 个 计算 结果 d MD 
以 及 他 们 的 凭证 J 和 Js 所 组 成 。 

(8) Carol 计算 J=A,J, mod n, 

(9) Carol 计算 T'=D°J‘ mod n。 然 后 计算 d'=H(M, T). WHR d=d', WAZEE 
签名 有 效 。 

此 协议 可 推广 到 任意 多 个 人 的 情形 。 多 个 人 签名 时 ， 在 第 (3) 步 他 们 分 别 将 所 有 的 T: 
值 相 乘 ， 在 第 (7) 步 将 所 有 的 D; 值 相 乘 。 验 证 复合 签名 时 ， 在 第 (8) 步 将 所 有 的 J; 值 相 
乘 。 至 此 ， 要 么 所 有 签名 都 有 效 ， 要 人 么 至 少 有 一 个 签名 无 效 。 


21.3 Schnorr 算法 


Claus Schnorr 鉴别 与 签名 方案 ””'*”] 的 安全 性 建立 在 计算 离散 对 数 的 难度 上 。 为 了 产 
生 一 密 钥 对 ， 首 先 选 取 两 个 素数 p 和 g， 9g 是 p 一 1 的 素数 因子 。 然 后 选择 a(a 隆 1)， 满 足 
a’=1 mod p。 所 有 这 些 数 可 由 一 组 用 户 共 用 ， 并 公开 发 布 。 

为 产生 特定 的 公开 密 钥 /私人 密 钥 密 钥 对 ， 选 择 一 个 小 于 a 的 随机 数 ， 也 就 是 私人 密 钥 
s。 然 后 计算 v=a‘ mod p， 也 就 是 公开 密 钥 。 


21.3.1 鉴别 协议 


(1) Peggy 选取 一 个 小 于 a 的 随机 数 +， 并 计算 z=a" mod p, KEMMBLR, WE 
Victor 出 现 之 前 完 

(2) Peggy 传送 x 给 Victor, 

(3) Victor 传送 一 个 O~2'—1 之 间 的 随机 数 e A Peggy (下 面 将 对 上 进行 讨论 ) 。 

(4) Peggy 计算 y=(r+se) mod n， 并 把 y 传送 给 Victor。 

(5) Victor 验证 x=a’v’ mod p. 

安全 性 基于 参数 上， 破解 该 算法 的 难度 大 约 是 2 。Schnorr 建议 p KAA 512 fi, qh 
140 fz, t X 72 Pi. 


21.3.2 数字 签名 协议 


Schnoor 算法 也 用 于 对 消息 M 的 数字 签名 协议 。 公 开 密 钥 / 私 人 密 钥 密 钥 对 与 上 面相 
同 ， 但 要 加 上 一 个 单 向 散 列 函数 HM). 
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(1) Alice 选取 一 个 小 于 9g 的 随机 数 r+， 并 计算 x 二 a” mod p， 这 是 预 处 理 步骤 。 

(2) Alice 将 消息 M 与 zx 连接 起 来 ， 计 算 其 散 列 值 e 一 HCM,， x). 

(3) Alice 计 算 y= 二 (7 十 se) mod g。e fly HZZ. Alice 将 e A y 传送 给 Bob. 

(4) Bob HH x'=a’v' mod p， 然 后 进一步 证 实 消 息 M 和 <z 级 联 之 后 的 散 列 结果 为 
e=H(M, x). MRM, HUMKEZ AR. 

Schnorr 在 他 的 论文 中 论述 了 该 算法 的 新 特点 : 


产生 签名 所 需 的 大 部 分 计算 都 可 在 预 处 理 阶段 完成 ， 并 且 这 些 计算 与 待 签 名 的 
消息 无 关 。 这 样 ， 可 在 空闲 时 间 进 行 计算 ， 并 且 不 会 影响 签名 速度 。 在 [475] 中 
论述 了 一 种 针对 这 种 预 处 理 过 程 的 攻击 ， 但 我 认为 它 并 不 实用 。 

对 于 相同 的 安全 级 ，Schnorr 的 签名 长 度 比 RSA 短 。 例 如， 对 140 位 长 的 g， 
签名 仅 为 212 位 长 ， 低 于 RSA 签名 长 度 的 一 半 。Schnorr 的 签名 长 度 也 比 EIGamal 
签名 短 很 多 。 
当然 ， 实 际 因素 使 得 对 于 给 定 方 案 可 使 用 更 短 的 位 。 例 如 ， 在 身份 鉴别 方案 中 ， 欺 骗 者 

必须 在 几 秒 钟 内 完成 在 线 攻击 ; 而 在 数字 签名 方案 中 ， 其 骗 者 为 了 伪造 签名 可 以 离线 计算 
数 年 。 
Ernie Brickell 和 Kevin McCurly 对 算法 进行 了 改进 ， 加 强 了 它 的 安全 性 52s51 。 


21.3.3 专利 
Schnorr 在 美国 " ”和 许多 其 他 国家 都 申请 了 专利 。1993 年 PKP 取得 了 该 专利 在 全 世 
界 范围 的 使 用 权 (参见 25. 5 节 )。 美 国 专利 于 2008 年 2 月 19 日 到 期 。 


21.4 将 身份 鉴别 方案 转 为 数字 签名 方案 


有 一 个 将 身份 识别 方案 转 为 数字 签名 方案 的 标准 方法 : 用 一 个 单 向 散 列 函数 取代 Vic- 
tor。 消 息 在 签名 之 前 并 不 进行 散 列 运算 ， 而 是 与 签名 算法 结合 在 一 起 。 理 论 上 ， 对 任何 身 
份 识别 方案 都 可 以 这 样 处 理 。 
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22.1 Diffie-Hellman 算法 

Diffie-Hellman 算法 是 第 一 个 公开 密 钥 算法 ， 早 在 1976 年 就 发 明了 。 其 安全 性 源 于 
在 有 限 域 上 计算 离散 对 数 比 计算 指数 更 为 困难 。Diffie-Hellman 算法 能 够 用 于 密 钥 分 配 
(Alice 和 Bob 能 用 它 产 生 秘 密 密 钥 )， 但 是 它 不 能 用 于 加 密 或 解密 消息 。 

数学 原理 很 简单 。 首 先 ，Alice 和 Bob 协商 一 个 大 的 素数 n Mg, g 是 模 n 的 本 原 元 。 
这 两 个 整数 不 必 是 秘密 的 ， 故 Alice 和 Bob 可 以 通过 即使 是 不 安全 的 途径 协商 它们 。 它 们 可 
在 一 组 用 户 中 公用 。 

协议 如 下 : 

(1) Alice 选取 一 个 大 的 随机 整数 x+， 并 发 送 给 Bob: X=g" mod n, 

(2) Bob 选取 一 个 大 的 随机 整数 y， 并 发 送 给 Alice: Y=g” mod n, 

(3) Alice 计算 k==Y* mod n. 

(4) Bob 计算 k'=X” mod n, 

k 和 "都 等 于 g? mod n, BUA EAN BOT et A RT Ee ML. fT RAG n, 
g、X 和 Y。 除 非 他 们 计算 离散 对 数 ， 恢 复 z+、y， 否 则 无 济 于 事 。 因 此 有 是 Alice 和 Bob 独 
立 计 算 的 秘密 密 钥 。 

g 入 的 选取 对 系统 的 安全 性 有 很 大 的 影响 。(n 一 1)/2 也 应 该 是 一 个 素数 。 最 重要 
的 是 n 应 该 很 大 : 因为 系统 的 安全 性 取决 于 与 同样 长 度 的 数 的 因子 分 解 的 难度 。 可 以 选择 
任何 满足 模 n 的 本 原 元 g， 没 有 理由 不 选择 所 能 选择 的 最 小 g 通常 只 是 个 1 位 数 〈 实 际 
上 g 不 必 是 素数 ,但 它 必须 能 产生 一 个 大 的 模 nn 的 乘法 组 子 群 )。 





22.1.1 三 方 或 多 方 Diffie-Hellman 

Diffie-Hellman 密 钥 交换 协议 很 容易 扩展 到 三 人 或 更 多 的 人 。 在 下 例 中 ，Alice、Bob 和 
Carol 一 起 产生 秘密 密 钥 。 

(1) Alice 选 取 一 个 大 的 随机 整数 zx， 并 发 送 给 Bob: X=g’ mod n, 


(2) Bob 选取 一 个 大 的 随机 整数 y， 并 发 送 给 Carol: Y=g* mod n, 
(3) Carol 选取 一 个 大 的 随机 整数 z， 并 发 送 给 Alice: Z=g* mod n, 
(4) Alice 发 送 给 Bob: Z'=Z* mod n, 


(5) Bob 发 送 给 Carol: X'=X” mod n, 

(6) Carol 发 送 给 Alice: Y'=Y* mod n, 

(7) Alice 计算 kR=Y" mod n, 

(8) Bob 计算 k=Z'” mod n. 

(9) Carol 计算 k= 二 =X mod n, 

秘密 密 钥 k= ge mod n， 没有 其 他 人 能 计算 出 & 值 ， 这 个 协议 很 容易 扩展 到 四 人 或 更 
多 的 人 中 ， 只 是 增加 更 多 的 人 和 增加 计算 的 轮 数 。 


wre Ye Ye 
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22.1.2 扩展 Diffie-Hellman 


Diffie- Hellman 4k A H FZI Z. Shmuley 和 Kevin McCurley 研究 了 这 种 算法 的 一 
AE, SEP REA BIN | V. S. Miller 和 Neal Koblitz 把 这 个 算法 扩展 到 椭圆 曲线 Ps 。 
Taher ElGamal 基于 这 些 基 本 思想 开发 了 一 个 加 密 和 数字 签名 算法 (参见 19. 6 节 )。 

该 算法 也 可 用 于 Galois 域 GF (2)5 2 。 有 些 实现 已 经 用 到 了 该 算法 22 ， 因 
为 其 计算 速度 很 快 。 同 样 ， 密 码 分 析 计 算 速度 也 非常 快 ， 因 此 仔细 选择 一 个 足够 大 的 域 以 保 
证 安全 性 是 非常 重要 的 。 


22. 1.3 Hughes 


Diffie-Hellman 的 这 种 变型 允许 Alice 产生 一 个 密 钥 并 发 送 给 Bobl“, 

(1) Alice 选取 一 个 大 的 随机 整数 c, FE R= ge" mod n, 

(2) Bob 选取 一 个 大 的 随机 整数 y， 并 发 给 Alice: Y=g’ mod n. 

(3) Alice 发 送 给 Bob: X=Y* mod n. 

(4) Bob 计算 z=y !, k'=X* mod n。 

如 果 整 个 过 程 没有 差错 ， 那 么 一 A 。 

与 Diffie-Hellman 相 比 ， 该 协议 的 优点 在 于 能 在 交互 之 前 计算 ，Alice 在 接触 Bob 之 
前 就 能 够 用 & 加 密 消 息 。 她 可 以 把 发 送 给 任何 人 ， 然 后 与 他 们 交互 ， 以 便 分 别 交换 密 钥 。 


22. 1.4 不 用 交换 密 钥 的 密 钥 交 换 


如 果 你 有 一 个 用 户 群 ， 每 个 用 户 都 可 以 在 公用 数据 库 发 布 一 个 公开 密 钥 : X=g mod n。 如 
果 Alice 想 与 Bob 通信 ， 她 只 需 取 回 Bob 的 公开 密 钥 ， 并 产生 他 们 共享 的 秘密 密 钥 。 然 后 她 用 这 
个 密 钥 加 密 消 息 并 发 送 给 Bob, Bob 也 将 取 回 Alice 的 公开 密 钥 来 产生 他 们 之 间 共 享 的 秘密 密 钥 。 

每 一 对 用 户 有 唯一 的 秘密 密 钥 ， 他 们 之 间 不 需要 预先 的 通信 过 程 。 为 了 防止 欺骗 攻击 ， 
公开 密 钥 必须 是 经 过 鉴定 的 ， 并 且 应 该 定期 改变 ， 不 管 怎样 这 是 很 好 的 主意 。 


22.1.5 专利 


Diffie-Hellman 密 钥 交换 算法 在 美国 "29 和 加 拿 大 09 都 获得 了 专利 。 由 公开 密 钥 合作 商 
(PKP) 颁布 许可 证 ， 包 括 另 外 一 些 公 开 密 钥 算 法 的 专利 权 (参见 25.5 节 )。 美 国 专利 在 
1997 年 4 月 29 日 到 期 。 


22.2 站 间 协 议 

Diffie-Hellman 密 钥 交 换 协 议 容易 受到 中 间 人 攻击 。 防 止 这 种 攻击 的 一 个 方法 是 让 Alice 
和 Bob 分 别 对 消息 签名 5 。 

协议 假定 Alice 有 Bob 的 公开 密 钥 证 书 ， 同 时 Bob 有 Alice 的 公开 密 钥 证 书 。 这 些 证 书 
由 协议 之 外 的 一 些 值得 信赖 的 机 关 签 名 。 下 面 是 Alice 和 Bob 产生 秘密 密 钥 & 的 过 程 : 

(1) Alice 产生 随机 数 zx， 并 把 它 发 送 给 Bob。 

(2) Bob 产生 随机 数 y。 根 据 Diffie-Hellman 协议 ， 他 计算 他 们 之 间 基 于 z、y 的 共享 
秘密 密 钥 &。 他 对 工 、y 签名 ， 并 且 用 加 密 签 名 。 然 后 把 它 和 y 一 起 发 送 给 Alice: l 

y E:(Sg(z,y)) 
(3) Alice 也 计算 &。 她 对 Bob 发 送 的 消息 解密 ， 并 验证 他 的 签名 。 然 后 她 把 包括 zx、yy 
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的 签名 消息 用 他 们 的 共享 密 钥 加 密 后 发 送 给 Bob: 
E, (Sa (x,y)) 
(4) Bob 解密 消息 并 验证 Alice 的 签名 。 


22.3 Shamir 的 三 次 传递 协议 

Shamir 发 明 但 从 未 公开 的 这 个 协议 能 使 Alice 和 Bob 无 需 预 先 交 换 任何 秘密 密 钥 或 公开 
密 钥 就 可 进行 保密 通信 ml 。 

这 里 假设 存在 一 个 可 交换 的 对 称 密码 : 

E, (Es(P)) = Es(Ea(P)) 
Alice 的 秘密 密 钥 是 A, Bob 的 秘密 密 钥 是 B，Alice 想 给 Bob 发 送 一 个 消息 M， 协 议 如 下 : 
(1) Alice 用 她 的 密 钥 加 密 M， 同 时 把 密 文 发 给 Bob: 
C, = E,(M) 
(2) Bob 用 他 的 密 钥 加 密 C, ， 同 时 把 密 文 发 给 Alice: 
C, = E (E, (M)) 
(3) Alice 用 她 的 密 钥 解密 C;， 同 时 把 结果 发 给 Bob: 
C, = Da(Egs(Ea(M))) = Da (E, (E(M))) = Es(M) 

(4) Bob 用 他 的 密 钥 解 密 C 恢复 明文 消息 M. 

一 次 一 密 乱码 本 是 可 交换 且 完 全 保密 的 ， 但 它们 不 能 用 在 这 个 协议 中 。 若 采用 一 次 一 密 
乱码 本 ， 三 个 密 文 消息 将 是 : 


C=PO@A 
C;=P@B 


当 这 三 个 密 文 在 Alice 和 Bob 之 间 传 递 时 ，Eve 能 记 下 它们 ， 然 后 简单 地 把 它们 异 或 便 
可 恢复 明文 消息 : 

CBCBC= (POA) O(POA OB) O(P@B) =P 
这 显然 是 不 行 的 。 

Shamir (Jim Omura 也 独立 地 ) 描述 了 一 个 适 于 该 协议 的 加 密 算 法 ， 它 类 似 于 RSA. 
设 p 是 一 个 大 素数 ，p 一 1 有 一 个 大 的 素数 因子 ， 选 择 加 密 密 钥 e， 使 e 与 之 一 1 互 素 。 计 算 
da， 使 de=1mod (p—1). 

加 密 消息 时 ， 计 算 : 

C = M mod p 
解密 时 则 计算 : 
M = C! mod p 

看 起 来 不 解决 离散 对 数 问题 Eve 便 无 法 恢复 M， 但 这 尚未 被 证 明 。 

45 Diffie-Hellman 类 似 ， 该 协议 允许 Alice 在 不 知道 Bob 的 任何 密 钥 的 情况 下 ， 便 可 与 
Bob Ñ fä. Æ Alice 使 用 公开 密 钥 算法 ， 她 必须 知道 Bob 的 公开 密 钥 。 按 照 Shamir 三 次 传 
递 协议 ， 她 只 需 把 密 文 消息 发 送 给 Bob; 而 如 果 使 用 公开 密 钥 算法 ， 则 要 : 

(1) Alice 向 Bob (或 KDC) 请 求 获得 他 的 公开 密 钥 。 

(2) Bob (3È KDO) 把 他 的 公开 密 钥 发 送 给 Alice. 

(3) Alice 用 Bob 的 公开 密 钥 加 密 M 并 把 它 发 送 给 Bob, 

Shamir 三 次 传递 协议 不 能 防止 中 间 人 攻击 。 
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22.4 COMSET 协议 


COMSET 是 为 RIPE 项 目 研 制 的 相互 识别 和 密 钥 交换 的 协议 ?5 (参见 25.7 节 )。 该 
协议 使 用 公开 密 钥 密码 ， 人 允许 Alice 和 Bob 相互 识别 ， 也 可 交换 秘密 密 钥 。 

COMSET 背后 的 数学 原理 是 Rabin FRU (参见 19.5 节 )。 这 个 方案 最 初出 现在 文 
献 [224] 中 ， 详 细 情 况 见 文献 [1305]. 


22.5 加 密 密 钥 交换 


Steve Bellovin 和 Michael Merritt 设计 了 加 密 密 钥 交换 (EKE) 协议 54 。 它 以 一 种 新 
奇 的 方法 同时 使 用 对 称 和 公开 密 钥 密码 给 计算 机 网 络 提供 了 安全 性 和 鉴别 。 该 方法 用 共享 的 
秘密 密 钥 加 密 随机 产生 的 公开 密 钥 。 


22.5.1 基本 EKE 协议 


Alice 和 Bob 〈 两 个 用 户 、 一 个 用 户 和 主机 ， 或 其 他 什么 ) 共享 一 个 公共 口令 P， 利 用 
这 个 协议 ， 他 们 能 相互 鉴别 并 产生 一 个 公共 会 话 密 钥 K。 
(1) Alice 产生 一 个 随机 公开 密 钥 /私人 密 钥 密 钥 对 ， 并 用 对 称 算法 和 P 作为 密 钥 对 公 
FAH K TMA: Er (K')， 将 结果 发 送 给 Bob: 
A,Ep(K') 
(2) Bob 知道 P， 他 解密 这 个 消息 得 到 K'， 然 后 产生 一 个 随机 会 话 密 钥 KK， 用 从 Alice 
处 得 到 的 公开 密 钥 和 P 作为 密 钥 来 加 密 KK， 并 把 它 发 送 给 Alice: 
Ep (Ex (K)) 
(3) Alice 解密 该 消息 获得 K， 她 产生 一 个 随机 串 Ra， 用 K 加 密 后 ,发送 给 Bob: 
Ex (Ra) ; 
(4) Bob 解密 这 个 消息 得 到 Ra， 他 产生 另 一 个 随机 串 Ra8， 用 KK 加 密 这 两 个 串 ， 同 时 把 
结果 发 送 给 Alice: 
Ex (Ra ,Rs) 
(5) Alice 解密 该 消息 获得 Ra ARs, 假设 她 从 Bob 处 得 到 的 Rs 与 她 在 第 (3) 步 发 送 
给 Bob 的 Ra 一 样 ， 她 就 用 K DN Re 同时 把 它 发 送 给 Bob: 
Ex (Rs) 
(6) Bob 解密 该 消息 获得 Re, BEWA Alice 处 得 到 的 Rs 与 他 在 第 (4) 步 发 送 给 Alice 
的 Rs 相同 ， 这 个 协议 便 完成 了 ,现在 双方 可 用 K 作为 会 话 密 钥 进行 通信 。 
在 第 G) 步 中 ，Alice 和 Bob 两 人 都 知道 K' 和 K，K 是 会 话 密 钥 ， 用 它 可 加 密 Alice 
和 Bob 之 间 的 所 有 其 他 消息 。 处 于 Alice 和 Bob 之 间 的 Eve 仅 知 道 Ep(K'), Ep (Ex (K)) 
和 一 些 用 K 来 加 密 的 消息 。 在 其 他 协议 中 ，Eve 能 够 猜测 P (人 们 总 是 选择 坏 的 口令 ， 并 
且 如 果 Eve 足够 聪明 ， 她 总 可 做 一 些 好 的 猜测 )， 然 后 证 实 她 的 猜测 。 但 在 这 个 协议 中 ， 在 
没有 破译 公开 密 钥 算法 之 前 ，Eve 不 能 证 实 她 的 猜想 。 如 果 K AK 两 个 都 随机 选择 ， 这 就 
是 一 个 无 法 解决 的 难题 。 
协议 的 第 G) ~ (6) 步 的 挑战 -应 答 部 分 证 实 了 协议 的 有 效 性 , 第 (3) ~ (5) 步 
Alice 证 实 了 Bob 知道 K, 第 (4) ~ (6) 步 Bob WX T Alice 知道 K, Kerberos 协议 时 间 
标记 交换 能 完成 相同 的 事情 。 
EKE 能 用 各 种 公共 密 钥 算法 实现 : RSA，ElGamal，Diffie-Hellman。 用 背包 算法 实现 的 


372 > 第 三 部 分 密码 算法 


EKE 存在 着 安全 问题 ( 撤 开 背包 算法 固有 的 不 安全 性 不 谈 ) : 密 文 消息 的 分 布 对 EKE 不 利 。 


22.5.2 用 RSA 实现 EKE 


RSA 算法 看 来 很 适合 这 种 应 用 ， 但 还 存在 一 些微 妙 的 问题 。 设 计 者 建议 在 第 〈1) 步 仅 
对 加 密 指 数 加 密 而 模 数 以 明文 形式 发 送 ， 其 理由 以 及 使 用 RSA 时 涉及 的 其 他 细节 问题 在 文 
献 [109] 中 有 说 明 。 


22.5.3 用 EIGamal 实现 EKE 


用 ElGamal 算法 实现 EKE 是 很 容易 的 ， 甚 至 还 有 一 种 基本 协议 中 的 简化 形式 。 使 用 
19. 6 节 中 的 概念 ，g Alp 是 所 有 用 户 公用 的 公开 密 钥 部 分 ， 私 人 密 钥 是 随机 数 +r， 公开 密 钥 
是 g mod p. Æ$ (1) HH, Alice 发 送 给 Bob 的 消息 变 为 : 

Alice, g” mod p 

注意 ， 这 个 公开 密 钥 不 必用 p 来 加 密 。 在 一 般 情况 下 ， 这 是 不 正确 的 。 但 对 ElGamal 
算法 它 是 正确 的 。 详 情 见 文献 [109]. 

Bob 选择 随机 数 尺 (专门 针对 ElGamal 算法 ， 且 与 EKE 中 选择 的 所 有 随机 数 都 无 关 )， 
在 第 (2) 步 中 他 发 送 给 Alice 的 消息 变 为 : 

Ep(g®mod p, Kg™ mod p) 

对 于 ElGamal， 选 择 变量 的 限制 参见 19. 6 节 。 


22.5.4 用 Diffie-Hellman 实现 EKE 


根据 Diffie-Hellman 协议 ，K 是 自动 产生 的 。 最 终 的 协议 甚至 更 简单 ，g 和 的 值 对 网 
络 中 的 所 有 用 户 都 相同 。 
(1) Alice 选择 随机 数 ra 并 发 送 给 Bob; 
A,g™ mod n 
使 用 Diffie-Hellman, Alice 不 必用 PP 来 加 密 她 的 第 一 个 消息 。 
(2) Bob 选择 一 个 随机 数 ra， 并 计算 : 
K = g's*"s modn 
他 产生 一 个 随机 串 Re， 然 后 计算 并 发 给 Alice: 
Ep(g's modn), Ex (Rx) 
(3) Alice 解密 该 消息 的 前 一 半 获 得 ga mod n， 然 后 计算 K， 并 用 K 来 解密 Rs。 她 产 
生 另 一 个 随机 串 Ra4， 用 K 来 加 密 这 两 个 随机 串 ， 同 时 把 结果 发 送 给 Bob, 
Ex (Ra ,Rs) 
(4) Bob 解密 消息 得 到 Ra 和 Rs。 假 定 他 从 Alice 处 得 到 的 Rs 与 他 在 第 (2) 步 中 发 送 
给 Alice 的 Rs 一 样 ， 他 便 用 K 加 密 R。， 并 把 它 发 送 给 Alice: 
Ex (Ra) 
(5) Alice 解密 该 消息 得 到 Ra。。 假 定 她 从 Bob 处 得 到 的 Rs 与 她 在 第 (3) 步 中 发 送 给 
Bob 的 Ra 一 样 ， 那 么 这 个 协议 就 完成 了 。 现 在 双方 可 用 K 作为 会 话 密 钥 开 始 通信 。 


22.5.5 加 强 的 EKE 


Bellovin 和 Merritt 提出 一 个 增强 协议 挑战 -应 答 部 分 的 建议 ， 以 防止 密码 分 析 者 恢复 旧 
的 KK 值 的 可 能 攻击 。 
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对 照 基本 的 EKE 协议 ， 在 第 G) 步 ，Alice 产生 另 一 个 随机 数 S， 同 时 发 送 给 Bob: 
Ex (Ra ,Sa) 
在 第 (4) 步 ，Bob 产生 另 一 个 随机 数 Ss， 同 时 发 送 给 Alice: 
Ex (Ra ,Rs,Ss) 
Alice 和 Bob 现在 可 以 同时 计算 会 话 密 钥 S4 中 Ss。 这 个 密 钥 可 用 于 Alice 和 Bob 之 间 所 
有 以 后 的 消息 ，K 只 用 作 密 钥 交 换 密 钥 。 
考察 EKE 提供 的 保护 级 别 ， 恢 复 S 值 不 会 给 Eve AF P 的 任何 信息 ， 因 为 P 没 有 直接 
用 来 加 密 可 直接 导出 S 的 任何 东西 。 对 K 的 密码 分 析 攻 击 也 是 不 可 行 的 ， 因 为 K 仅 用 来 加 
密 随机 数据 ， 且 S 从 没有 单独 加 密 。 


22.5.6 扩充 的 EKE 


EKE 协议 存在 一 个 严重 的 缺陷 : 它 需 要 双方 都 知道 P。 绝 大 多 数 基 于 口令 的 鉴别 系统 存 
储 的 是 用 户口 令 的 单 向 散 列 值 ， 而 不 是 口令 本 身 (参见 3.2 节 )。 扩 充 的 EKE 协议 (AEKE) 
使 用 用 户口 令 的 单 向 散 列 值 作为 用 Diffie-Hellman 实现 的 EKE 变型 中 的 超级 密码 。 用 户 发 
送 用 初始 口令 加 密 的 额外 消息 ， 这 个 消息 用 来 鉴别 新 选择 的 会 话 密 钥 。 
以 下 是 协议 过 程 。 通 常 ，Alice 和 Bob 想 要 相互 鉴别 并 产生 一 个 公用 的 密 钥 。 他 们 协商 
某 个 数字 签名 方案 ， 其 中 有 些 数字 可 以 用 于 私人 密 钥 ， 并 方案 中 的 公开 密 钥 可 以 从 私人 密 钥 
导出 ， 而 不 是 和 私人 密 钥 一 起 产生 。ElGamal 和 DSA 算法 很 适合 这 个 方案 。Alice 的 口令 P 
(或 口令 的 简单 散 列 值 ) 将 用 作 私 人 密 钥 ， 并 记 为 P'。 
(1) Alice 选取 一 个 随机 指数 Ra. FH RIK: 
Ep (g®4 mod n) 
(2) Bob 只 知道 P  ， 但 不 能 从 中 得 出 了， 他 选取 一 个 随机 指数 Re， 并 发 送 : 
Ep (Cgsamod n) 
(3) Alice 和 Bob 都 能 计算 共享 的 会 话 密 钥 K= gas mod n， 最 后 ，Alice 通过 发 送 下 
面 的 消息 ， 证 实 她 知道 的 是 已 ， 而 不 是 P 
Ex(Sp(K)) 
Bob 知道 K 和 PP'， 他 能 解密 并 验证 签名 。Alice 仅 在 知道 已 时 ， 才 能 发 送 消息 。 一 个 获得 
Bob 口令 文件 的 人 侵 者 能 尽力 猜 出 已 ， 但 不 能 对 会 话 密 钥 签名 。 
由 于 是 一 方 选取 会 话 密 钥 而 另 一 方 应 用 ， 所 以 A-EKE 方案 不 能 与 EKE 的 公开 密 钥 变 
型 一 起 工作 。 这 使 得 中 间 人 攻击 能 通过 捕获 P' 来 发 动 攻 击 。 


22.5.7 EKE 的 应 用 


Bellovin 和 Merritt 建议 在 保密 公用 电话 中 使 用 该 协议 中 1、 


我 们 假设 安装 了 多 部 加 密 的 公用 电话 。 如 果 有 人 想 用 其 中 的 一 部 电话 ， 他 必须 
提供 某 种 密 钥 信息 。 传 统 的 解决 办 法 就 是 要 求 呼叫 者 有 一 把 物理 钥匙 ， 但 这 在 很 多 
场合 是 不 理想 的 。EKE 则 允许 使 用 一 种 较 短 的 用 键盘 输入 的 口令 ,但 用 于 通话 的 
会 话 密 钥 要 长 得 多 。 

对 于 蜂窝 电话 系统 EKE 也 适用 。 在 蜂 视 电话 中 ,欺骗 已 成 为 令 人 头痛 的 问题 。 
EKE 可 以 克服 这 一 难题 (上 且 确保 通话 的 保密 )。 采 用 的 方法 是 ， 如 果 使 用 者 不 输入 
正确 的 个 人 识别 号 (PIN)， 电 话机 就 不 能 使 用 。 由 于 PIN 并 不 存放 在 电话 机 内 ， 
所 以 想 从 偷 来 的 电话 机 中 找 出 PIN 是 不 可 能 的 。 
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EKE 的 基本 强度 以 一 种 对 称 密码 和 公开 密 钥 密码 学 都 得 到 加 强 的 方式 联合 使 用 这 两 种 
密码 系统 : 


从 一 般 的 观点 看 来 ，EKE 起 一 种 秘密 放大 器 的 作用 。 也 就 是 说 ， 当 对 称 的 和 
非 对 称 系统 一 起 使 用 时 ， 可 加 强 这 两 种 比较 弱 的 密码 系统 。 例 如 ， 当 使 用 指数 密 铀 
交换 时 ， 我 们 考虑 需要 保持 安全 性 的 密 钥 的 长 度 。LaMacchia 和 Odlyzko 已 证 
明 [939 ， 曾 经 认为 安全 的 模 数 长 度 CP 192 位 ) 是 脆弱 的 ， 计 算 机 仅 需 几 分 钟 就 能 
破译 它 。 但 若 在 攻击 之 前 必须 猜 出 口令 ， 则 攻击 是 不 可 行 的 。 

反之 ， 破 译 指 数 密 钥 交 换 的 难度 能 用 于 挫败 猜测 口令 的 所 有 企图 。 猜 测 口 令 攻 
击 是 可 行 的 ， 因 为 每 一 次 猜测 都 可 非常 快 地 得 到 验证 。 如 果 完 成 这 样 的 验证 需要 求 
解 一 个 指数 密 铀 交换 ， 假 如 不 是 概念 上 的 困难 ， 那 么 总 的 时 间 将 急剧 增加 。 


EKE 已 申请 专利 "。 


22.6 加 强 的 密 钥 协商 


这 个 方案 也 可 防止 密 钥 协商 受到 拙劣 选择 口令 和 中 间 人 攻击 “3。 它 利用 了 具有 特殊 

性 能 的 两 个 变量 的 散 列 函 数 : 在 第 二 个 变量 没有 明显 冲突 时 ， 第 一 个 变量 存在 许多 冲突 。 
H' (x,y) = H(H(k,x) mod 2" ,zx) 
其 中 Hk, x) 是 &、z 的 普通 的 散 列 函数 。 

协议 如 下 。Alice 和 Bob 共享 一 个 密 钥 口令 P， 用 Diffie-Hellman 密 钥 交换 协议 得 到 一 
个 秘密 密 钥 K。 他 们 用 P 验证 两 个 会 话 密 钥 是 否 一 样 (Eve 不 可 能 采用 中 间 人 攻击 )，Eve 
不 可 能 得 到 PP。 

(1) Alice 发 送 给 Bob; 

H'(P,K) 
(2) Bob 计算 H'(P, K), FFM Alice 处 收 到 的 比较 。 如 果 一 致 ， 他 发 送 给 Alice: 
H'(H(P,K)) 

(3) Alice 计算 H'CH(P, K)) 并 与 她 从 Bob 处 收 到 的 比较 。 

如 果 Eve 正在 试图 采用 中 间 人 攻击 ， 她 与 Alice 共享 一 个 密 钥 K,, 5 Bob 共享 另 一 个 
密 钥 K, 。 为 了 在 第 (2) Hiki Bob， 她 必须 计算 出 共享 口令 ， 然 后 发 送 H' P, K) 给 
Bob。 对 于 一 般 的 散 列 函数 ，Eve 能 试 出 一 个 正确 的 共享 口令 ， 然 后 成 功 人 侵 协 议 。 但 对 于 
两 个 变量 的 散 列 函数 ， 很 多 口令 与 Ki 一 起 散 列 时 能 导出 同样 的 结果 。 因 此 ， 当 她 找到 一 个 
匹配 的 口令 时 ， 有 可 能 只 是 错误 的 口令 ， 并 不 能 欺骗 Bob. 


22.7 会 议 密 钥 分 发 和 秘密 广播 


Alice 想 通过 单一 的 发 射 机 广播 消息 M。 然 而 她 不 想 让 每 一 个 听众 都 理解 。 事 实 上， 她 
只 想 其 中 选 定 的 一 部 分 人 能 恢复 M， 而 其 他 人 得 不 到 任何 信息 。 

Alice 能 与 每 一 个 听众 共享 一 个 不 同 的 密 钥 〈 公 开 密 钥 或 秘密 密 钥 )。 她 用 随机 密 钥 K 
加 密 消 息 ， 然 后 用 每 一 个 听众 的 密 钥 加 密 密 钥 K 的 副本 。 最 后 ， 她 广播 加 密 消 息 和 每 一 个 
加 密 的 K。 听 众 Bob 用 他 的 秘密 密 钥 解密 所 有 的 密 钥 久 ， 得 到 正确 的 密 钥 。 如 果 Alice 并 不 
在 乎 大 家 知道 她 的 消息 是 给 谁 的 ， 她 可 以 把 听众 的 名 字 附 在 密 钥 之 后 。 以 前 讨论 的 多 重 密 钥 
密码 也 可 用 于 此 。 

在 文献 [352] 中 给 出 了 另 一 种 方法 。 首 先 ， 每 一 个 听众 与 Alice 共享 一 个 秘密 密 钥 ， 
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其 中 密 钥 比 要 加 密 的 消息 长 。 所 有 的 这 些 密 钥 都 是 成 对 的 素数 。 她 用 随机 密 钥 玉 加 密 消 息 。 
然后 她 计算 一 个 整数 尺 ， 满足 R 模 用 于 解密 消息 的 秘密 密 钥 与 K 同 余 ， 而 RR 模 其 他 的 秘密 
密 钥 与 0 同 余 。 

例如 ， 如 果 Alice 只 想 秘密 消息 被 Bob, Carol 和 Ellen 接收 ， 但 不 包括 Dave 和 Frank, 
她 就 用 天 加密 消息 ， 然 后 计算 R: 

R = K(mod Kp) 
R = K(mod Ke) 
R = 0 (mod Kp) 
R = K (mod Kp) 
R = 0 (mod Kp) 

这 是 一 个 简单 的 代数 问题 ，Alice 能 很 容易 地 解 出 。 当 听众 收 到 广播 时 ， 他 们 计算 收 到 
的 密 钥 模 他 们 的 秘密 密 钥 。 如 果 他 想 接 收 消息 ， 则 恢复 密 钥 ; 否则 ， 什 么 也 不 做 。 

第 三 种 方法 是 文献 [141] 中 建议 的 门限 方案 〈 参 见 3. 7 节 ) 。 与 其 他 方案 一 样 ， 每 一 个 
潜在 的 接收 者 得 到 一 个 秘密 密 钥 。 在 非 创建 门限 方案 中 ， 该 密 钥 是 不 可 见 的 。Alice 为 自己 
保存 一 些 秘密 密 钥 ， 并 给 系统 增加 一 些 随机 性 。 假 设 有 & TA. 

广播 消息 M 时 ，Alice 用 K 加 密 消息 M， 然 后 : 

(1) Alice 选取 一 个 随机 数 7， 这 个 数 用 于 隐藏 消息 接收 者 的 数量 。 它 不 必 很 大 ， 甚 至 
可 以 小 到 0。 

(2) Alice 创建 (k 十 j 十 1，2k 十 十 1) 的 门限 方案 ， 满 足 : 

K 是 秘密 的 。 

接收 者 的 秘密 密 钥 作为 影 

非 接收 者 的 秘密 密 钥 不 作为 影子 。 

j 是 随机 选取 的 影子 ， 对 于 每 一 个 秘密 密 钥 都 不 一 样 。 

(3) Alice "HR A+) 个 随机 选取 的 影子 ， 而 不 是 在 第 (2) 步 中 选取 的 影子 。 

(4) 所 有 接收 到 广播 的 听众 在 & 十 7 后 加 上 他 们 的 影子 。 如 果 加 上 影子 后 可 以 计算 秘密 
密 钥 ， 则 他 们 恢复 密 钥 ;如 果 不 行 ， 则 什么 也 不 做 。 

另 一 种 方案 见 文 献 [885、886、1194]， 还 有 一 种 方案 见 文献 [1000]. 


22.7.1 会 议 密 钥 分 发 

该 协议 允许 一 组 n 个 用 户 通 过 不 安全 信道 协商 秘密 密 钥 。 组 用 户 共 享 两 个 大 的 素数 p、 
gq 和 与 9 有 同样 长 度 的 生成 元 g。 

(1) MP id<i<n) 选取 一 个 小 于 g 的 随机 数 r;， 并 广播 

zi = gi mod p 
(2) 每 个 用 户 验证 x?=1(mod p)(1<i<n). 
(3) AP iy 
zi = (zam /z-1)% mod p 
(4) 用 户 i 计算 
K = Cz)" Xa?! Xai? XK X iy mod p 

上 述 协议 的 所 有 下 标 运算 (i 一 1、i 一 2 和 i 十 1) 应 该 模 n。 协 议 的 最 后 ， 每 一 个 诚实 的 
用 户 都 得 到 相同 的 K， 其 他 人 不 可 能 得 到 任何 东西 。 然 而 ， 这 个 协议 容易 遭 到 中 间 人 攻击 。 
另 一 个 不 很 完美 的 协议 见 文献 L757]. 
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22.7.2 Tatebayashi-Matsuzaki-Newman 


该 密 钥 分 发 协议 适用 于 网 络 0521 。Alice 想 通 过 Trent (KDC) 与 Bob 产生 会 话 密 钥 。 
网 络 中 所 有 用 户 都 知道 Trent 的 公开 密 钥 n Trent 知道 n 的 两 个 大 素数 因子 ， 因 此 很 容易 
计算 的 三 次 方 根 模 wn。 下面 描述 的 协议 省 掉 了 许多 细节 ， 但 是 你 可 以 明白 它 : 

(1) Alice 选取 一 个 随机 数 rs。， 并 发 送 给 Trent: 

rì mod n 
(2) Trent 告诉 Bob 有 人 想 与 他 交换 密 钥 。 
(3) Bob 选取 一 个 随机 数 re， 并 发 送 给 Trent: 
rs mod n 

(4) Trent 用 他 的 秘密 密 钥 恢 复 ra 和 rs， 并 发 送 给 Alice: 

ra Org 

(5) Alice 计算 : 

(ra Ora) Ora = rs 
她 用 rs 与 Bob 安全 地 通信 。 

该 协议 看 起 来 不 错 ， 但 有 一 个 可 怕 的 缺陷 。Carol 能 在 第 (3) 步 监 听 ， 并 在 毫 无 怀疑 
的 Trent 和 另 一 个 怀 有 恶意 的 用 户 Dave 的 帮助 下 利用 那个 信息 ， 并 恢复 rp. 

(1) Carol 选取 一 个 随机 数 rc， 并 发 送 给 Trent: 

rbri mod n 
(2) Trent 告诉 Dave 有 人 想 与 他 交换 密 钥 。 
(3) Dave 选取 一 个 随机 数 rno, FRIZA Trent: 

rp mod n 
(4) Trent 用 他 的 秘密 密 钥 恢复 rc 和 rp， 并 发 送 给 Carol: 
(Crarc) md 7 @rp 

(5) Dave 把 rp 发 送 给 Carol, 
(6) Carol 用 rc 和 rp 恢复 ra， 就 可 窃听 Alice 和 Bob 之 间 的 通信 了 。 
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23.1 多 重 密 钥 的 公开 密 钥 密码 系统 


这 是 RSA 的 一 种 推广 (参见 19. 3 节 )" 2 。 模 数 寺 是 两 个 素数 户 和 9 的 乘积 ， 然 而 ， 
这 里 不 是 选择 e Md (844 ed=1 mod ((p 一 1)(g 一 1))， 而 是 选择 t 个 密 钥 K;， 使 得 
K, X K; X + X K, = 1 mod ((p—1)(q—1)) 
因为 
MKIxKax…xk 一 M 
这 就 是 3. 5 节 中 描述 的 多 重 密 钥 方 案 。 
例如 ， 有 5 SRA, AK; 和 天; 加 密 的 消息 能 用 K.. K: 和 K, 解密 : 
C= M*3**s mod a 
M = Ch%**®:*ks mod n 
这 可 用 于 多 重 签名 。 设 想 在 一 种 情况 下 ，Alice 和 Bob 都 必须 签署 一 个 文件 才能 使 之 合 
法 化 。 可 以 使 用 3 个 密 钥 : Ki, K: 和 K;， 前 两 个 发 送 给 Alie 和 Bob 各 一 个 ， 第 三 个 公开 。 
(1) Alice 首先 签署 M， 并 发 送 给 Bob: 
M' = MA mod n 
(2) Bob 可 以 从 M 中 恢复 M: 
M = M'®**s mod n 
(3) Bob 还 可 以 添加 自己 的 签名 : 
M = M'® mod n 
(4) 任何 人 都 能 用 公开 密 钥 K 验证 这 个 签名 : 
M = M"*s mod n 
注意 ， 可 信 方 必须 设置 这 种 系统 ， 并 将 密 钥 分 配给 Alice 和 Bob。 具 有 相同 问题 的 男 一 
个 方案 见 文 献 [484]。 此 外 还 有 第 三 个 方案 见 文献 [695、830、700]j， 但 是 验证 方面 的 成 效 
与 签名 者 的 数量 成 正比 。 基 于 零 知 识 签 别 方案 的 最 新 方案 ?29 解决 了 上 述 系统 的 两 个 
缺陷 。 


23.2 秘密 共享 算法 


在 3.7 节 中 论述 了 秘密 共享 方案 的 想法 。 下 面 4 个 不 同 的 算法 基于 一 般 理论 框架 的 所 有 
特定 情况 fs 。 


23.2.1 LaGrange 插值 多 项 式 方案 


Adi Shamir 利用 有 限 域 中 的 多 项 式 方程 来 构造 门限 方案 "259 。 选 择 一 个 素数 p， 使 之 比 
可 能 的 影子 数目 和 最 大 可 能 秘密 都 大 。 共 享 秘密 时 ， 需 要 产生 一 个 次 数 为 m 一 1 的 任意 多 项 
式 。 例 如 ， 如 果 打 算 形成 一 个 “3，n) 门限 方案 ( 重 构 M 需要 3 个 影子 )， 则 产生 一 个 二 次 
多 项 式 : 
(ax? 十 br 十 M) mod p 
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其 中 pp 是 一 个 比 所 有 系数 都 大 的 随机 素数 。 系 数 a 和 2 随机 选择 ， 它 们 是 秘密 的 ， 在 分 发 影 
子 之 后 便 丢弃 。M 是 消息 。 素 数 必须 公开 。 
影子 通过 计算 该 多 项 式 在 几 个 不 同 点 上 的 值得 到 : 
k; 一 下 (zi) 
换 名 话说， 第 一 个 影子 就 是 多 项 式 在 x 二 1 的 值 ， 第 二 个 影子 就 是 多 项 式 在 x 二 2 的 值 ， 以 
此 类 推 。 
由 于 二 次 多 项 式 有 3 个 未 知 系数 wa、 和 M， 因 此 ， 任意 3 个 影子 都 能 用 来 建立 3 个 方 
程 。2 个 影子 不 能 ，1 个 影子 也 不 能 ，4 或 5 个 影子 则 是 多 余 的 。 
例如 ， 设 M=11, HE (3, 5) 门限 方案 ,在 这 个 方案 中 5 个 人 中 任意 3 个 都 能 重 构 
M， 首 先 产 生 一 个 二 次 方程 (7 和 8 为 随机 选择 ) : 
F(x) = (72? +8x+11) mod 13 
5 个 影子 是 : 
ki = F(1) =7+8+11= 0(mod 13) 
k, = F(2) = 284+ 16 + 11 = 3(mod 13) 
k, = F(3) = 63+ 24 + 11 =7(mod 13) 
ky = F(4) = 1124+ 32+ 11 = 12(mod 13) 
ks = F(S) = 175+ 40 + 11 = 5(mod 13) 
为 了 从 3 个 影子 〈 比 如 心 、A ARs) 重 构 M， 解 线性 方案 程 组 : 
aX 2?+6X2+M = 3(mod 13) 
aX3?+b6X3+M=7(mod 13) 
aX5?’+6X5+M = 5(mod 13) 
解 为 a=7, 6=8 和 M 王 11， 这 样 就 恢复 了 M. 
这 个 共享 方案 对 于 较 大 的 数 也 容易 实现 。 如 果 打 算 把 消息 分 成 30 个 相等 的 部 分 ， 使 得 
任意 6 个 人 在 一 起 都 能 重 构 消息 ， 则 给 这 30 个 人 每 人 一 个 六 次 多 项 式 : 
F(z) = (lax? + br? +cr* + dr? +er’? + fx +M) mod p 
对 6 个 未 知 数 ( 包 括 M) 6 个 人 才能 解 ，5 个 人 就 不 可 能 得 到 有 关 M 的 任何 东西 。 
秘密 共享 最 惊人 的 方面 是 ， 如 果 系 数 随机 地 选择 ， 即 使 是 有 无 限 计算 能 力 的 5 个 人 也 不 
能 得 到 除 消 息 长 度 外 的 任何 东西 〈 消 息 长 度 每 个 人 都 知道 )。 这 个 方案 像 一 次 一 密 乱 码 本 一 
样 安全 ， 任 何 想 揭示 消息 的 穷 举 搜索 〈 即 试验 所 有 可 能 的 第 6 个 影子 ) 的 企图 都 可 能 是 无 效 
的 。 本 节 所 介绍 的 所 有 秘密 共享 方案 都 如 此 。 








23.2.2 ”矢量 方案 


George Blaldey 发 明了 利用 空间 中 点 的 方案 。 消 息 定义 为 m 维 空间 中 的 一 个 点 ， 每 
一 个 影子 都 是 包含 这 个 点 的 〈m 一 1) 维 超 平 面 的 方程 ， 任 意 m 个 这 种 超 平面 的 交点 刚好 确 
定 这 个 点 。 

例如 ， 如 果 需 要 3 个 影子 来 重 构 消 息 ， 那 么 此 消息 就 是 三 维 空间 中 的 一 个 点 ， 每 一 个 影 
子 都 是 一 个 不 同 的 平面 。 如 果 有 1 个 影子 ， 则 仅 知 道 点 在 该 平面 上 的 某 处 ; 如 果 有 2 个 影 
子 ， 则 可 知道 点 在 两 个 平面 交 线 上 某 处 ; 如 果 有 3 个 影子 ， 则 刚好 能 确定 点 在 三 个 平面 的 
交点 。 


23.2.3 Asmuth-Bloom 
这 种 方案 使 用 素数 5]。 对 一 个 m, n) 门限 方案 ， 选 择 一 个 大 于 M 的 大 素数 p, A 
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选择 n ANF p WB di, dry s, diy (TG: 
(1) d; 的 值 按 递增 顺序 排列 ， 即 di <d: o 
(2) di 两 两 互 素 。 l 
(3) dy Xd, Ko Xd Rd Xd, ms MOOR, « 
分 配 影子 时 ， 首 先 选择 一 个 随机 数 >， 计 算 
M = M-+rp 
影子 Rk; 是 
k; = M' mod d; 
利用 中 国 剩 余 定理 ， 由 任意 mm 个 影子 就 能 恢复 M， 任 意 m 一 1 个 影子 却 不 能 ， 详 细 情 况 
见 文献 L65]. 


23.2.4 Kamin-Greene-Hellman 


NT RT EIR. ntle mE VO. Vis Vor os Vi» EEE 
们 形成 的 任意 可 能 mxm BEA ER mo EU 是 Gm +1) 维 的 行 向 量 。 

M EEERBU Vo, FIERA U + Vi <i<n). 

任何 m 个 影子 能 用 来 解 m Xm 的 线性 方程 组 ， 其 中 未 知 数 是 U 的 系数 。 知 道 了 U， 就 
能 够 计算 U.V;。 任意 mm 一 1 个 影子 不 能 解 这 个 线性 方程 组 ， 因 此 不 能 恢复 这 个 秘密 。 


23.2.5 高 级 门限 方案 


前 面 的 例子 仅 解释 了 最 简单 的 门限 方案 : 把 一 个 秘密 分 成 个 影子 ,使 得 使 用 其 中 任意 
m 个 影子 就 能 恢复 这 个 秘密 。 这 些 算法 能 用 来 构造 更 复杂 的 方案 。 下 面 的 例子 将 使 用 
Shamir 算法 ， 也 可 使 用 前 面 算 法 中 任何 一 个 。 

构造 方案 时 ， 如 果 其 中 一 个 人 比 其 他 人 更 重要 ， 就 给 那个 人 更 多 的 有 影子。 比如 说 ， 如 果 
需要 5 个 影子 才能 重建 一 个 秘密 ， 其 中 一 个 人 有 3 个 不 同 的 影子 而 其 他 人 仅 有 1 个， 那么 这 
个 人 和 另外 两 个 人 就 能 恢复 秘密 ， 没 有 这 个 人 ， 则 需要 5 个 人 才能 恢复 秘密 。 

两 个 或 更 多 人 能 得 到 多 个 影子 ， 每 个 人 都 能 拥有 不 同 数目 的 影子 。 不 论 影子 按 何 种 方式 
分 布 ， 使 用 其 中 任意 m 个 影子 都 能 重 构 这 个 秘密 。 如 果 仅 有 mm 一 1 个 影子 ， 那 么 无 论 是 属于 
一 个 人 还 是 全 房间 的 人 都 不 能 重 构 这 个 秘密 。 

在 其 他 类 型 的 方案 中 ,设想 有 两 个 敌对 代表 团 。 也 可 在 这 两 个 代表 团 间 共享 秘密 ， 使 得 
来 自 7 人 代表 团 A 中 的 2 个 人 和 来 自 12 ARKA B 中 的 3 个 人 一 起 才能 恢复 秘密 。 构 造 一 
个 三 次 多 项 式 ， 它 是 一 个 线性 方程 和 一 个 二 次 方程 的 乘积 ， 给 代表 团 A 中 每 人 1 个 影子 ， 
这 个 影子 是 线性 方程 的 值 ， 给 代表 团 B 中 每 人 1 个 影子 ， 这 个 影子 是 二 次 方程 的 值 。 

RRA A 中 任意 2 个 影子 能 用 来 重 构 线性 方程 ， 但 不 管 它 有 多 少 其 他 的 影子 ， 都 不 能 
得 到 有 关 秘 密 的 任何 信息 。 对 代表 团 B 也 如 此 : 他 们 只 需要 3 个 影子 就 可 重 构 二 次 方程 ， 但 
不 能 获得 为 重 构 秘 密 所 需 的 更 多 信息 。 仅 当 两 个 代表 团 共享 他 们 的 方程 时 ， 才 能 将 两 个 方程 
相 乘 用 于 重 构 秘 密 。 

总 之 ， 任 何 能 想象 得 到 的 共享 方案 都 能 够 实现 ， 所 要 做 的 只 是 设想 一 个 与 特定 方案 相对 
应 的 方程 组 。 文献 [1462、1463、1464] 是 阐述 秘密 共享 方案 的 一 些 好 文章 。 


23.2.6 有 骗子 情况 下 的 秘密 共享 
该 算法 为 检测 骗子 改进 了 标准 的 〈m，n) 门限 方案 。 虽 然 它 也 能 用 于 其 他 方案 ， 
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但 以 下 只 使 用 LaGrange 方案 予以 说 明 。 

选择 一 个 素数 p， 它 比 n 和 

(s—1)(m—1)/e+m 

大 ， 其 中 * 是 最 大 可 能 的 秘密 ，e 是 成 功 欺 骗 的 概率 。 可 以 使 与 你 希望 的 一 样 小 ， 这 使 
计算 更 为 复杂 。 像 前 面 一 样 构造 影子 , 但 x; 1, 2, +, n, WPA 1~p—-1 之 间 的 随 
机 数 。 

现在 ，Mallory 带 着 他 的 假 共 享 秘密 潜入 秘密 重 构 会 议 ， 他 的 共享 秘密 不 是 可 能 秘密 的 
概率 很 高 ， 当 然 ， 一 个 不 可 能 秘密 就 是 伪造 的 秘密 ， 有 关 数 学 问题 见 文献 [1529j]。 

KERE, BA Mallory 作为 骗子 被 暴露 了 ， 但 仍然 得 到 了 秘密 RRE m 个 其 他 有 效 
的 共享 秘密 )。 文 献 [1529、975] 中 的 另 一 个 协议 能 防止 这 种 情况 发 生 。 基 本 思想 是 创建 一 
系列 的 & 个 秘密 ， 使 参与 者 中 任何 人 都 不 能 事先 知道 哪 一 个 是 正确 的 秘密 。 除 了 真正 的 秘密 
外 ， 每 一 个 秘密 都 比 前 一 个 秘密 大 ， 参 与 者 组 合 他 们 的 影子 产生 一 个 又 一 个 的 秘密 ， 直 到 他 
们 能 产生 一 个 比 前 面 的 秘密 小 的 秘密 ， 这 就 是 一 个 正确 的 秘密 。 

该 方案 能 在 秘密 产生 前 尽早 暴露 骗子 。 参 与 者 每 次 交付 一 个 影子 的 过 程 有 些 繁杂 ， 详 情 
参见 那 两 篇 论文 。 在 门限 方案 中 检测 和 防止 骗子 的 其 他 文章 可 见 文献 L355、114、270]。 


23.3 AT fae 


23.3.1  Ong-Schnorr-Shamir 


Gustavus Simmons! t8 159-1460] 95 + Wy Bd FRED (A 4. 2 节 ) 使 用 了 Ong-Schnorr- 
Shamir 识别 方案 (参见 20.5 节 )。 和 原 方案 中 相同 的 是 : AKA (Alice) 选择 一 个 公开 的 
模 数 nn 和 一 个 秘密 密 钥 &， 使 得 n 与 & 互 素 。 和 原 方案 不 相同 的 是 : & 是 在 Alice MA PIA 
接收 者 Bob 之 间 共 享 的 。 

计算 公开 密 钥 : 

h =— k’ mod n 

如 果 Alice 打算 通过 无 害 消 息 M RRKT M， 那 么 她 首先 需 确 认 M Al n 互 素 ， 
M 和 n HR. 

Alice 计算 : 

S,;= 1/2 X (M'/M +M) mod n 
2= k/2 X (M'/M — M) mod n 
将 数 对 S 和 S; 合 在 一 起 就 是 传统 的 Ong-Schnorr-Shamir 方案 的 签名 ， 而 且 是 阅 下 消息 的 
载体 。 

像 Ong-Schnorr-Shamir 签名 方案 所 描述 的 那样 ， 监 狱 看 守 人 Walter 〈 记 得 他 吗 ?) 能 够 
鉴别 消息 ， 但 Bob 做 得 更 好 。Bob 能 鉴别 消息 (Walter 总 是 能 够 产生 他 自己 的 消息 )， 还 能 
进一步 确认 : 

S? — S3/k? = M' (mod n) 

MRNA BE SEN, Be RAE EP IAA PA AS: 

M = M'/(S, + S,k') mod n 
这 是 可 行 的 ， 但 要 记 住 基本 的 Ong-Schnorr-Shamir 方案 已 经 被 破译 了 。 
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23.3.2 ElGamal 


在 文献 £1407, 1473] 中 描述 的 Simmons 第 二 阅 下 信道 "基于 ElGamal 签名 方案 
(参见 19.6 节 )。 
密 钥 产生 与 基本 的 ElGamal 签名 方案 相同 。 首 先 选择 一 个 素数 p， 两 个 随机 数 gMr, 
gHr 都 小 于 pp。 然 后 计算 : 
K = g’ mod p 
公开 密 钥 是 K、g 和 p， 私 人 密 钥 是 r+。 除 Alice 9b, Bob 也 知道 >， 这 个 密 钥 用 来 发 送 
AUPE PIR. BINEARJE H o 
使 用 无 害 消息 M RAGA PIE Mit, M, MAp 都 必须 相互 完全 互 素 ， 同 时 M 和 
p—-l 也 必须 互 素 。Alice 计算 : 
K = g“ (mod p) 
并 对 Y 解 下 列 方程 (使 用 扩展 的 欧 几 里 得 算法 ) 
M = rX +MY mod (p— 1) 
和 基本 的 ElGamal 方案 一 样 ， 签 名 是 数 对 X Ally. 
Walter 能 验证 ElGamal 签名 ， 他 确认 : 
KxXY = g" (mod p) 
Bob FERRE PIR. E EMA: 
(g’)*X* = g" (mod p) 
如 果 上 面 的 等 式 确认 成 立 ， 他 接收 到 的 消息 就 是 真实 的 〈 不 是 来 自 Walter). 
其 次 ， 恢 复 M 时 ， 他 计算 
M = (Y COM —rX)) mod (p—1) 
例如 ， 设 p=11 和 g=2, BARA r 选 为 8， 这 意味 着 Walter 能 用 来 验证 签名 的 公开 
密 钥 是 g' mod p=2* mod 11=3, 
使 用 无 害 消息 M'=5 RAGE A PIE M=9 时 ，Alice HU9 M11 互 素 ， 同 时 5 和 11 
互 素 ， 她 还 证 实 9 和 11-1=10 也 互 素 。 因 此 Alice 计算 : 
X = g“ mod p = 2° mod 11 = 6 
然后 ， 她 对 Y 解 下 列 方程 : 
5=8X6+9XY mod 10 
得 Y 王 3， 所 以 签名 是 数 对 X 和 Y: 6 和 3。 
Bob 进一步 确认 : 
Ce)xXY= g™ (mod p) 
(28) 6° = 2° (mod 11) 
上 式 是 成 立 的 《如果 不 相信 我 ， 你 可 以 自己 进行 数学 运算 ) ， 所 以 Bob 就 可 通过 计算 下 式 恢 
BMP fae: 
M = (Y '(M' —rr)) mod (p— 1) = 31(5—8 X 6) mod 10 = 7(7) mod 10 = 49 mod 10 = 9 


23.3.3 ESIGN 
阅 下 信道 能 增添 到 ESIGN’ 中 (参见 20. 6 节 ) 。 
在 ESIGN 中 ， 秘 密 密 钥 是 一 对 大 素数 p Ae, APRA n=p'q. ERT fii N oe 
下 ， 秘 密 密 钥 是 3 个 素数 p、g 和 >， 公 开 密 钥 是 >”， 且 : 
n= pqr 
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变量 x 是 Bob 需要 用 来 阅读 阐 下 消息 的 附加 信息 。 

对 消息 签名 时 ，Alice 首先 选择 一 个 随机 数 xz， 使 得 x 小 于 pqr， 并 计算 : 

w dz th (H(m) — x* mod n)/ par) 大 的 最 小 整数 
s = x+((w/kxr*') mod p) par 

Hom) 是 消息 的 散 列 函数 , & 是 安全 参数 ， 值 ; 就 是 签名 。 

验证 该 签名 时 ，Bob 计算 st mod n， 他 还 计算 a, a 是 比 n 的 位 数 除 以 3 大 的 最 小 整数 。 如 果 
Hom) 小 于 或 等 于 * modna, HUR + mod n 比 Hlm) 十 2 小， 那么 该 签名 被 认为 是 有 效 的 。 

使 用 无 害 消息 M' 来 发 送 立 下 消息 Mitt. Alice 用 MBAR Hm) 来 计算 ;s。 这 意味 着 该 
消息 必须 小 于 p*qr。 然 后 她 选择 一 个 随机 数 x， 并 计算 : 

a’ =M'+ur 

然后 ， 使 用 这 个 r 值 作为 “随机 数 ”z 来 签署 M  。 第 二 个 * 值 就 作为 一 个 签名 来 发 送 。 

Walter 能 够 验证 ; (第 二 个 ) 是 M' 的 有 效 签名 。 

Bob 也 能 用 相同 的 方法 来 鉴别 消息 ， 但 因为 他 还 知道 >， 所 以 他 能 计算 : 

s=a' + ypqr = M+ur+ ypqr = M(mod r) 

BP i EL A ik BP Se BE EE BP BE. FE Ong-Schnorr-Shamir 和 ElGamal 实现 方法 中 ， 
Bob 拥有 Alice 的 私人 密 钥 ， 除 了 能 阅读 来 自 Alice WHY FIA ES. Bob 还 能 假冒 Alice 并 签 
署 文件 。Alice 对 此 却 无 能 为 力 。 为 了 建立 这 个 浆 下 信道 ，Alice 必须 信任 Bob. 

ESIGN 方案 则 没有 这 个 问题 ，Alice 的 私人 密 钥 是 3 个 素数 p、g 和 > WA, Bob 的 秘 
密 密 钥 正 是 r+， 他 知道 n= pqr, 但 要 恢复 p 和 gg， 就 必须 分 解数 xn。 如 果 该 素数 足够 大 ， 
Bob 要 假冒 Alice， 就 像 Walter 或 其 他 任何 人 一 样 很 难 。 


23.3.4 DSA 


在 DSA 中 也 有 一 个 立 下 信道 (参见 20. 1 4), 事实 上 ， 是 有 多 个 。 最 简单 
的 国 下 信道 涉及 选择 。 假 定 它 是 一 个 160 位 的 随机 数 。 然 而 ， 如 果 Alice 选择 了 一 个 特定 的 
&， 那 么 知道 Alice 私人 密 钥 的 Bob 就 能 够 恢复 它 。Alice 能 在 每 一 个 DSA 签名 中 发 送 给 Bob 
一 个 160 位 的 冰 下 消息 ， 其 他 任何 人 都 能 简单 地 验证 Alice 的 签名 。 另 外 还 有 一 个 更 复杂 的 
问题 ， 因 为 应 当 是 随机 的 ， 所 以 为 了 产生 上 Alice 和 Bob 必须 共享 一 个 一 次 一 密 乱 码 本 ， 
并 用 该 一 次 一 密 乱 码 本 来 加 密 阐 下 消息 。 

DSA 还 有 一 些 不 需要 Bob 知道 Alice 私人 密 钥 的 阅 下 信道 。 它 们 也 涉及 选择 特定 值 ， 
但 不 能 用 于 发 送 160 位 的 信息 。 在 文献 [1468、1469] 中 提出 的 这 个 方案 允许 Alice 和 Bob 
在 每 一 次 签署 的 消息 中 交换 1 位 阅 下 信息 。 

(1) Alice 和 Bob 商定 一 个 随机 素数 p (不 同 于 签名 方案 中 的 参数 p). XAN TFK 
说 ， 这 是 他 们 的 秘密 密 钥 。 

(2) Alice 签署 一 个 无 害 消息 M。 如 果 她 想 发 送 给 Bob ME iL 1， 她 确保 签名 的 参数 > 
是 对 模 p 的 二 次 剩余 。 如 果 她 想 给 Bob BOP 12 0， 她 确保 签名 的 参数 r 是 对 模 卫 SROKA 
余 。 她 通过 对 带 有 随机 & 值 的 消息 进行 签名 直到 她 得 到 一 个 满足 需要 特性 的 签名 参数 r 来 完 
成 这 一 工作 。 因 为 二 次 剩余 和 非 二 次 剩余 大 约 相 等 ， 这 样 这 一 步 应 当 不 太 困难 。 

(3) Alice 发 送 一 个 签名 消息 给 Bob. 

(4) Bob 验证 签名 ， 以 确信 该 消息 是 真实 的 。 然 后 他 检查 r 是 对 模 p 的 二 次 剩余 还 是 非 
二 次 剩余 ， 同 时 恢复 阔 下 位 。 

通过 这 种 使 ~ 是 模 各 种 参数 的 二 次 剩余 或 非 二 次 剩余 的 方法 可 以 发 送 多 个 位 ， 详 情 见 文 
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kik (1468, 1469], 

该 方案 很 容易 扩展 到 在 每 一 个 签名 中 发 送 多 个 阔 下 位 。 如 果 Alice 和 Bob 共同 协商 了 两 
个 随机 素数 P 和 Q，Alice 通过 选择 一 个 随机 数 &， 使 得 ~ 既 是 对 模 忆 的 二 次 剩余 或 非 二 
剩余 ， 又 是 对 模 Q 的 二 次 剩余 或 非 二 次 剩余 的 方法 ， 就 能 够 发 送 两 位 。 一 个 随机 的 & 值 有 
25% 机 会 产生 一 个 正确 形式 的 x。 

下 面 便 是 Mallory，DSA 的 一 个 不 择 手 段 的 实现 者 ， 如 何 使 Alice 每 签署 一 个 文件 ， 就 
泄露 她 10 位 私人 密 钥 的 算法 : 

(1) Mallory 用 一 个 防 拆 的 VLSI 芯片 实现 DSA, 使 得 没有 人 能 检查 这 个 芯片 内 部 工作 
状况 。 他 在 这 个 芯片 中 建立 了 一 个 14 位 的 国 下 信道 。 也 就 是 说 ， 他 选择 14 个 随机 素数 ， 而 
且 该 芯片 可 以 根据 阅 下 消息 ， 选 择 一 个 值 使 得 x 对 那 14 个 素数 中 的 每 一 个 而 言 都 是 二 次 
剩余 或 非 二 次 剩余 。 

(2) Mallory 将 这 种 芯片 分 发 给 Alice, Bob 以 及 想 要 的 任何 人 。 

(3) Alice 用 她 的 160 位 私人 密 钥 z+， 像 通 常 一 样 签署 消息 。 

(4) 芯片 随机 地 选择 xz 的 10 位 分 组 : 第 一 个 10 位、 第 二 个 10 位 …… 因为 总 共有 16 个 
可 能 的 10 位 分 组 ， 所 以 用 4 位 数 就 可 标识 这 些 分 组 。 该 4 位 标识 符 加 上 10 位 密 钥 ， 就 是 14 
iW Bd BA 

(5) 芯片 对 随机 的 & 值 进行 测试 ， 直 到 找到 一 个 对 于 要 发 送 的 阔 下 消息 具有 正确 的 二 次 
剩余 特性 的 &A。 一 个 随机 的 & 具有 正确 的 二 次 剩余 特性 的 可 能 性 是 1/16 384。 假 设 该 芯片 每 
秒 钟 测试 1 万 个 k， 那 么 不 到 2 秒 就 能 找到 一 个 。 这 种 计算 不 涉及 消息 ， 因 此 可 在 Alice 签 
署 消 息 前 脱 机 完成 。 

(6) 芯片 使 用 第 (5) 步 中 选 定 的 & 值 ， 像 通常 那样 签署 该 消息 。 

(7) Alice 将 该 数字 签名 发 送 给 Bob， 或 者 在 网 络 上 或 其 他 什么 地 方 公 布 。 

(8) Mallory 恢复 +， 而 且 因 为 他 知道 那 14 个 素数 ， 所 以 就 可 解密 阅 下 消息 。 

可 怕 的 是 ， 即 使 Alice 知道 正在 发 生 的 一 切 ， 也 无 法 证 明 这 一 事实 。 只 要 这 14 个 素数 
继续 保持 秘密 ，Mallory 仍 将 安然 无 着 。 


23.3.5 挫败 DSA 阅 下 信道 


六 下 信道 依赖 于 Alice 能 选择 & 来 传送 冰 下 信息 这 一 事实 。 为 了 挫败 冰 下 信道 ， 就 不 能 
允许 Alice 选择 &， 并 且 其 他 任何 人 也 都 不 能 。 因为 如 果 多 许 其 他 某 个 人 选择 &， 那 么 就 等 
于 允许 那个 人 伪造 Alice 的 签名 。 唯 一 的 解决 办 法 就 是 : Alice 和 另 一 方 〈 称 为 Bob) 共同 产 
生 &。 在 这 种 产生 方法 中 ，Alice 不 能 控制 & 的 单个 位 ， 而 Bob 不 能 知道 是 的 单个 位 。 在 
这 个 协议 的 末尾 ，Bob 应 能 验证 Alice 使 用 过 的 他 们 共同 产生 的 那个 A。 

Bian pees, 

(1) Alice 选择 k’, 并 发 送 给 Bob: 

u = g* mod p 

(2) Bob 选择 kh， 并 将 有 发送 给 Alice。 

(3) Alice 计算 k=k*”mod (p 一 1)。 她 用 DSA 签署 消息 M， 并 把 她 的 签名 r 和 s 发 送 给 Bob, 

(4) Bob 验证 : 

((u mod p) mod q) =r 
如 果 上 式 成 立 ，Bob 就 知道 上 被 用 于 签署 M。 
在 第 (4) 步 之 后 ，Bob 知道 没有 任何 阔 下 信息 能 嵌入 中。 如 果 他 是 一 个 可 信 方 ,他 
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就 能 证 明 Alice 的 签名 是 无 闹 下 信道 的 。 其 他 人 必须 相信 他 的 证 明 。 对 于 拥有 该 协议 副本 的 
第 三 方 ，Bob 却 不 能 证 明 这 个 事实 。 

一 个 意 想不到 的 结果 是 ， 如 果 Bob 想 要 做 的 话 ， 他 能 够 使 用 该 协议 建立 他 自己 的 阔 下 
信道 。 通 过 选择 具有 一 定 特征 的 必 ，Bob 就 能 把 阔 下 消息 嵌入 Alice 的 一 个 签名 中 。 当 Sim 
mons 发 现 这 个 问题 时 ， 他 把 它 叫做 “布谷 鸟 信道 ”>， 有 关 “ 布 谷 鸟 信 道 ”怎样 工作 的 详细 情 
况 ， 以 及 为 防止 “布谷 鸟 信道 ”而 提出 的 产生 & 的 一 种 3 趟 协议 见 文献 [1471、1473] 。 


23.3.6 ”其 他 方案 


任何 签名 方案 都 能 转换 成 阀 下 信道 048.14460.146 E Fiat-Shamir 和 Feige-Fiat-Shamir 协 
议 中 租 入 立 下 信道 的 协议 以 及 对 这 个 阅 下 信道 的 可 能 滥用 见 文献 L485]. 


23.4 不 可 抵赖 的 数字 签名 

David Chaum 提出 了 这 个 不 可 抵赖 的 数字 签名 算法 (参见 4.3 节 )843 3 。 首 先 ， 公 开 
一 个 大 素数 p 和 一 个 本 原 元 gg， 它 们 可 由 一 组 签名 者 使 用 。Alice 有 一 个 私人 密 钥 x 和 一 个 
公开 密 钥 g” mod po 

对 消息 签名 时 ，Alice 计算 z=2* mod p， 这 就 是 Alice 必须 完成 的 全 部 工作 。 

验证 稍微 复杂 一 些 : 

(1) Bob 选择 两 个 小 于 p 的 随机 数 a 和 2， 并 发 送 给 Alice: 

c = z*(g")’ mod p 
(2) Alice 计算 t=x ' mod (p—1), Ff RIK Bob: 
d=c' mod p 
(3) Bob 进一步 确认 : 
d = m’g’ (mod p) 

如 果 此 式 成 立 ，Bob 就 认为 该 签名 是 真 的 。 

设想 Alice 和 Bob 都 履行 该 协议 ， 并 且 Bob 相信 Alice 签署 了 消息 。Bob 打算 使 Carol 
也 相信 ， 因 此 他 把 协议 的 一 个 副本 给 Carol 看 。 然 而 ，Dave 打算 使 Carol 相信 是 其 他 人 签署 
了 该 文件 。 他 伪造 了 该 协议 的 一 个 副本 。 首 先 他 产生 第 〈1) 步 中 的 消息 ， 然 后 他 先 做 第 
(3) 步 中 的 计算 ， 产 生 4， 再 编制 第 (2) 步 的 虚假 传送 ， 称 这 个 d 是 从 其 他 人 传送 来 的 ， 
最 后 他 制造 第 (2) 步 中 的 消息 。 对 Carol 来 说 ，Bob 和 Dave 两 个 人 的 副本 是 相同 的 ， 她 还 
不 能 相信 签名 的 有 效 性 ， 除 非 她 自己 亲自 履行 这 个 协议 。 

当然 ， 如 果 当 Bob 完成 该 协议 时 ，Carol STEM Bob 的 行为 ,那么 就 应 当 相 信 Carol. 
她 必须 看 到 如 Bob 所 做 的 那样 的 ， 按 次 序 做 的 那些 步骤 。 

该 签名 方案 可 能 存在 一 个 问题 ， 但 是 我 不 知道 具体 细节 ， 在 使 用 该 签名 方案 之 前 请 注意 
这 方面 的 文献 。 

另 一 个 协议 不 仅 有 一 个 确认 协议 GHEE Alice 能 够 使 Bob 相信 她 的 签名 是 有 效 的 )， 
而 且 还 有 一 个 否定 协议 。 在 这 个 协议 中 ， 如 果 不 是 Alice 的 签名 ， 她 可 用 零 知 识 交 互 协议 使 
他 深信 ， 签 名 是 无 效 的 1 。 

像 前 面 的 协议 一 样 ， 一 组 签名 者 共用 一 个 公开 的 大 素数 p 和 一 个 本 原 元 &g。Alice 有 一 
个 唯一 的 私人 密 钥 x 和 一 个 公开 密 钥 g* mod pe ZWE, Alice 计算 z=m mod p. 

验证 一 个 签名 时 : 

(1) Bob 选择 两 个 比 p 小 的 随机 数 a FO, FFA ARK Alice: 
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c=m‘g’mod p 
(2) Alice 选择 一 个 比 p 小 的 随机 数 g， 计 算 并 发 送 给 Bob: 
sı =cg’mod p, s: = (cg) "modp 
(3) Bob fh a 和 2 发 送 给 Alice， 使 得 Alice 能 进一步 确认 Bob 没有 在 第 (1) AIK 
骗 她 。 
(4) Alice 把 g 发 送 给 Bob， 使 得 Bob 能 利用 m 且 重 新 构造 ;; 和 s., WR 
sı =cg° (mod p) 
s2 =(g*)*"z* (mod p) 
那么 签名 有 效 。 
Alice 也 能 够 否定 对 消息 m 的 一 个 签名 = ， 详 情 见 文献 [329]. 
不 可 抵赖 签名 的 其 他 协议 可 在 文献 [584、344] 中 找到 。Lein Harn 和 Shoubao Yang 
提出 了 一 个 不 可 抵赖 的 组 签名 方案 。 


可 转换 的 不 可 抵赖 签名 


文献 £213] 中 给 出 了 一 个 可 转换 的 不 可 抵赖 签名 (convertible undeniable signature) 
的 算法 ， 该 算法 能 验证 及 和 否定 签名 ， 同 时 也 能 将 签名 转换 成 常规 的 数字 签名 。 该 算法 基于 
ElGamal 数字 签名 算法 。 
像 ElGamal 算法 一 样 ， 首 先 选 择 两 个 素数 p 和 gq， 使 得 g 能 整除 之 一 1。 此 时 必须 产生 
一 个 小 于 q 的 数 g。 首 先 选择 一 个 在 2~p—-1 之 间 的 随机 数 h， 计 算 : 
g = h modp 
如 果 g 等 于 1， 则 选择 另 一 个 随机 数 关 ;如 果 & 不 等 于 1， 则 保留 这 个 g。 
私人 密 钥 是 两 个 小 于 q 的 不 同 的 随机 数 Mz, AFR p, gs y Mu, Hp 
y = g” mod p 
u = g*mod p 
计算 消息 m 的 可 转换 的 不 可 抵赖 签名 ( 它 实质 上 是 消息 的 散 列 值 ) 时， 首先 选择 一 个 1 一 q 一 1 
之 间 的 随机 数 ， 然 后 计算 : 
T=g'mod p 
All 
m'=Ttzm mod q 
现在 计算 m 的 标准 ElGamal 签名 。 选 择 一 个 随机 数 R， 使 得 R 小 于 (p 一 1) 且 与 (p 一 1) 
互 素 。 然 后 计算 r=g*mod p， 并 使 用 扩展 欧 几 里 得 算法 计算 *， 使 得 : 
m' = rx +Rs(mod q) 
此 签名 是 ElGamal 签名 (r, s) MT. 
以 下 是 Alice 向 Bob 验证 她 的 签名 的 过 程 : 
(1) Bob 产生 两 个 随机 数 a Fb, TA cH=T™g’mod p， 同 时 把 它 发 送 给 Alice。 
(2) Alice 产生 一 个 随机 数 有 并 计算 有 二 cg*mod p Mh: =h mod p， 同 时 把 这 两 个 数 
发 送 给 Bob。 
(3) Bob 把 a Alb 发送 给 Alice, 
(4) Alice RIE c=T'™g’mod p, WIE k Riž tA Bob, 
(5) Bob RHE hi =T™g’**mod p Ah: =y"r*u’*mod p. 
Alice 通过 公布 >， 能 把 她 所 有 不 可 抵赖 签名 转换 成 常规 的 签名 。 现 在 即使 没有 Alice 的 
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帮助 ， 任 何人 都 能 验证 她 的 签名 。 

不 可 抵赖 签名 方案 能 够 和 秘密 共享 方案 组 合 在 一 起 产生 分 布 式 可 转换 的 不 可 抵赖 和 
名 [51 。 某 人 先 签署 一 个 消息 ， 然 后 将 确认 签名 有 效 的 能 力 分 散 。 为 了 使 Bob 相信 签名 是 有 
效 的 ， 他 们 可 能 需要 ， 例 如 5 个 人 中 的 3 个 人 参与 这 个 协议 。 对 这 种 概念 的 改进 取消 了 对 可 
ATERT, 


23.5 指定 的 确认 者 签名 

下 面 叙述 了 Alice 怎样 签署 消息 ， 而 Bob 又 怎样 验证 消息 ， 才 能 使 得 Carol 在 以 后 某 个 
时 刻 向 Dave 验证 Alice 的 签名 (BW 4.4 4P, 

首先 ， 公 开 一 个 大 素数 p 和 一 个 本 原 元 素 g8， 妨 和 8 由 一 组 用 户 公用 ， 两 个 素数 的 积 n 
也 是 公开 的 。Carol 拥有 一 个 私人 密 钥 z MNAR EH h =g mod p. 

在 该 协议 中 ，Alice 能 够 签署 消息 m, (45 Bob 确信 此 签署 是 合法 的 ， 但 是 不 能 使 第 三 
方 确信 。 

(1) Alice 选择 一 个 随机 数 zxz， 并 计算 : 

a =g" mod p 
b =h" mod p 
她 计算 m BOVE H Cn), Uk a Alb 连接 的 散 列 值 及 (a，6)。 然 后 计算 : 
j = (H(m) ® H(a,b)) mod n 
并 将 a、b 和 j 发 送 给 Bob, 
(2) Bob 选择 两 个 小 于 p 的 随机 数 s Mt, RX Alice; 
c = g'h'mod p 

(3) Alice 选择 一 个 小 于 p 的 随机 数 q， 并 发 送 给 Bob: 

d=g'modp 
e =(cd)* mod p 

(4) Bob 把 和 + 发 送 给 Alice。 

(5) Alice 确认 : 

g'h' =c(mod p) 
然后 将 q 发 送 给 Bob, 

(6) Bob 确认 : 

d = g° (mod p) 
e/a’ = a'b' (mod p) 
H(m) ® H(a,b) = j° mod n 
如 果 Alice 和 Bob 全 都 验算 完毕 ，Bob 就 认为 这 个 签名 是 真实 的 。 
Bob 不 能 使 用 这 个 证 明 的 副本 使 Dave 相信 这 个 签名 是 真实 的 ， 但 是 Dave 能 够 和 Alice 
指定 的 确认 者 Carol 一 起 构造 一 个 协议 。 下 面 叙 述 了 Carol 怎样 使 Dave 相信 a Alb 构成 一 个 
有 效 签 名 。 
(1) Dave 选择 两 个 小 于 p 的 随机 数 w 和 vw， 并 发 送 给 Carol: 
k = g“a*mod p 

(2) Carol 选择 一 个 小 于 p 的 随机 数 w, EIZA Dave: 
l =g“mod p 
y =(hl)*mod p 
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(3) Dave $4 u 和 w 发 送 给 Carol。 
(4) Carol 确认 : 
g“a” = k(mod p) 
然后 将 w 发 送 给 Dave, 
(5) Dave 确认 : 
g” =l(mod p) 
y/h* =h"b” (mod p) 
如 果 Carol 和 Dave 全 都 验算 完毕 ，Dave 就 认为 这 个 签名 是 真实 的 。 
在 另 一 个 协议 中 ，Carol 能 将 指定 的 确认 者 协议 转换 成 一 个 传统 的 数字 签名 。 详 情 见 文 
献 [333], 


23.6 用 加 密 数据 计算 


离散 对 数 问题 
有 一 个 大 素数 p 和 一 个 产生 元 g，Alice 有 一 个 特定 的 过 值 ， 想 知道 ec， 使 得 
g° = a(mod p) 
这 是 一 个 难题 ， 且 Alice 缺少 计算 它 的 能 力 ， 而 Bob 拥有 解决 这 个 问题 的 计算 能 力 一 一 
他 代表 政府 或 大 的 计算 机 构 或 诸如 此 类 。 下 面 是 在 Alice 不 泄漏 zx 的 情况 下 ，Bob 的 计算 
eo, 
(1) Alice 选择 一 个 小 于 p BEILA r 
(2) Alice 计算 
a’ = xg'mod p 
(3) Alice 要 求 Bob 解 : 
g” = x' (mod p) 
(4) Bob 计算 ee ， 同 时 将 它 发 送 给 Alice, 
(5) Alice 通过 计算 e=(e'—r)mod(p—1) 来 恢复 e。 
对 二 次 剩余 问题 和 本 原 根 问题 的 类 似 协议 见 9 ， 也 可 参见 4. 8 节 。 


23.7 ”公平 的 硬币 抛掷 


下 列 协议 允许 Alice 和 Bob 在 一 个 数据 网 络 上 抛掷 公平 的 硬币 (参见 4. 9 OO, RE 
一 个 抛 币 入 井 的 例子 (参见 4. 10 节 )。 开 始 只 有 Bob 知道 硬币 抛掷 的 结果 ， 并 且 由 他 把 结 
果 告 诉 Alice。 后 来 ，Alice 可 以 进行 检验 以 确信 Bob 告诉 她 抛掷 的 结果 是 否 正确 。 


23.7.1 利用 平方 根 的 硬币 抛掷 


硬币 抛掷 子 协议 如 下 : 
(1) Alice 选择 两 个 大 素数 p 和 g， 并 把 它们 的 乘积 ”发 送 给 Bob, 
(2) Bob 选择 一 个 随机 的 正 整 数 r+, 使 + 小 于 n/2。Bob 计算 : 
z = r mod n 
并 把 z 发送 给 Alice。 
(3) Alice 计算 z(mod n) 的 4 个 平方 根 。 她 能 够 计算 ， 因为 她 知道 上 的 因子 分 解 。 我 
们 把 这 4 个 根 称 为 十 z+、 一 +、 十 y、 一 y。 设 x' 是 下 面 两 个 数 中 较 小 的 一 个 : 
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x mod n X, — zx mod n 
类 似 地 ， 设 y 是 下 面 两 个 数 中 较 小 的 一 个 : 
y mod n È — y mod n 
请 注意 -等 于 z 或 y。 
(4) Alice 猜测 r=2', 或 者 + 二 y ， 并 将 其 猜测 发 送 给 Bob。 
(5) 如 果 Alice 的 猜测 是 正确 的 ， 硬 币 抛 括 的 结果 是 正面 ; 如 果 Alice 的 猜测 不 正确 ， 
硬币 抛掷 的 结果 是 反面 。Bob 宣布 硬币 抛掷 的 结 
验证 子 协议 如 下 : 
(6) Alice 将 p 和 g 发 送 给 Bob, 
(7) Bob 计算 x 和 > ， 并 将 它们 发 送 给 Alice。 
(8) Alice 计算 r. 
Alice 不 知道 r， 所 以 她 的 猜测 是 真实 的 。 她 仅 在 第 (4) 步 中 告诉 Bob 她 猜测 的 1 位 ， 
这 样 可 防止 Bob 获得 zx 和 y'o WMR Bob 有 这 两 个 数 ， 他 就 能 在 第 〈4) 步 后 改变 ~。 


23.7.2 利用 模 p 指数 运算 的 硬币 抛掷 


模 素数 p 的 指数 运算 被 用 作 该 协议 中 的 单 向 函数 |。 

硬币 抛掷 子 协议 如 下 : 

(1) Alice 选择 一 个 素数 p，(p 一 1) 的 因子 分 解 已 知 且 至 少 含有 一 个 大 的 素数 因子 。 

(2) Bob 选择 GF) 中 的 两 个 本 原 元 h Ale, FORE MI AGRA Alice. 

(3) Alice 检验 hh 和 1 是 否 本 原 ， 选 择 一 个 和 “(pp 一 1) 互 素 的 随机 整数 +， 然后 计算 下 
列 两 个 值 中 的 一 个 : 

y= h* mod p Xk y =r mod p 
并 将 y 发 送 给 Bob。 

(4) Bob 猜测 Alice 是 将 y 作为 h 还 是 1 的 一 个 函数 计算 的 ,并 将 他 的 猜测 发 送 给 
Alice。 

(5) 如 果 Bob 的 猜测 是 正确 的 ， 那 么 硬币 抛掷 的 结果 是 正面 ， 如 果 Bob 的 猜测 不 正确 ， 
那么 硬币 抛掷 的 结果 是 背面 。Alice 宣布 硬币 抛掷 的 结果 。 

验证 子 协议 如 下 : 

(6) Alice 把 x WE A Bob, Bob 计算 h*(mod p) BK t (mod p)， 使 得 他 既 能 确认 Alice 
是 否 公 正 地 进行 硬币 抛掷 ， 又 能 确认 抛掷 的 结果 。 他 还 能 检验 zx 和 (z 一 1) 是 否 互 素 。 

如 果 Alice 想 欺 骗 ， 她 必须 知道 满足 h =r (mod p) 的 两 个 整数 zx 和 zx 。 如 果 她 知道 这 
些 值 ， 她 就 能 计算 : 

logh = 2'x 'mod p—1 f logh = x 'x'mod p—1 
这 些 都 是 难题 。 

如 果 Alice 知道 了 log,h ， 她 应 能 计算 ,但 在 第 (2) 步 中 Bob iky h Mt, Alice 除了 
计算 离散 对 数 外 没有 其 他 方法 。Alice 也 可 能 通过 选择 一 个 与 p 一 1 不 互 素 的 xz 来 欺骗 Bob, 
但 Bob 在 第 (6) 步 中 能 检测 出 来 。 

若 Bob 选择 的 h Mi PE GFE) 中 的 两 个 本 原 元 ， 他 就 能 欺骗 Alice， 但 Alice 在 第 
(2) 步 后 就 能 很 容易 地 检验 出 来 ， 因 为 她 知道 p 一 1 的 素 因 子 。 

这 个 协议 有 一 个 优点 ， 如 果 Alice 和 Bob 打算 抛 撕 多 个 硬币 ,他们 可 使 用 相同 的 p、h 
和 t+。Alice 每 产生 一 个 新 的 zx， 协议 便 从 第 G 步 继续 下 去 。 
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23.7.3 利用 Blum 整数 的 硬币 抛掷 


Blum 整数 能 使 用 在 硬币 抛 拖 协议 中 : 

(1) Alice 产生 一 个 Blum 整数 nn 和 一 个 与 n RAMWMPLM re, rı =xr mod n, H x= 
aimod n, tht n FAri 发 送 给 Bob. 

(2) Bob 猜测 xo 究竟 是 奇数 还 是 偶数 。 

(3) Alice x RIK Bob, 

(4) Bob 检验 nn 是 否 是 Blum 整数 (Alice 必须 把 n 的 因子 及 这 些 因子 互 素 的 证 明 给 
Bob， 或 通过 执行 某 个 零 知 识 协议 使 他 相信 ?是 一 个 Blum 整数 )， 并 且 验 证 zo =x’ mod n 和 
zi 一 zimod2。 如 果 所 有 检验 无 误 ， 同 时 他 的 猜测 是 正确 的 ,那么 Bob 取得 这 次 抛 币 的 
成 功 。 

n 是 一 个 Blum 整数 很 关键 ， 否 则 Alice 能 找到 一 个 xp 使 得 zjmod n=z'i mod 2 一 zi， 
其 中 zs 也 是 一 个 二 次 剩余 。 如 果 r 是 偶数 而 ze 是 奇数 〈 或 反之 ) Alice 就 能 很 容易 地 进 
ITRI o 


23.8 单 向 累加 器 


有 一 种 简单 的 单 向 累加 器 函数 "5 (参见 4. 12 节 ) : 
Al(zi, y)=zx} imodn 
数 n(n 是 两 个 素数 的 乘积 ) 和 zx。 必须 事先 商定 。 然 后 ，y1 、y 和 ys 的 累加 应 是 
(Ca?! mod n)” mod n)” mod n 


该 计算 与 yis y 及 ys 的 顺序 无 关 。 


23.9 秘密 的 全 或 无 泄露 
该 协议 允许 多 个 参与 者 〈 该 协议 至 少 需要 两 个 参与 者 ) 从 一 个 卖 者 手中 购买 各 自 的 秘密 
(BW, 4.13 Penn 。 
Ase MUP. SRM 2 Aly, zc My 的 固定 位 索引 (Fixed Bit Index, FBI) 是 
x 的 第 i 位 等 于 y 的 第 ; 位 的 那些 位 。 
例如 : 
x =110101001011 
y =101010000110 
FBI(z,y) 二 {1,4,5,11)( 从 右 到 左 读 这 些 位 ,最 右 一 位 为 0) 
协议 如 下 。Alice 是 卖 者 ，Bob 和 Carol BRA. Alice Ak hn 位 的 秘密 : Sis S2, 0s 
S;。Bob 想 买 秘密 S,, Carol 想 买 秘密 S.. 
(1) Alice 产生 一 个 公开 /私人 密 钥 对 ， 并 把 公开 密 钥 告诉 Bob (但 不 告诉 Carol). 。 她 再 
产生 另 一 公开 /私人 密 钥 对 ， 并 把 该 公开 密 钥 告诉 Carol (但 不 告诉 Bob). 
(2) Bob 产生 有 个 位 随机 数 B1，B;，…，B;， 并 把 它们 告诉 Carol。Carol 产生 个 n 
位 随机 数 Cis Cos tes Cys 并 把 它们 告诉 Bob 。 
(3) Bob 用 从 Alice 得 到 的 公开 密 钥 加 密 C OIE, Se 是 他 想 买 的 秘密 )， 他 计算 C, 和 
他 刚 加 密 结果 的 FBI。 他 把 FBI 发 送 给 Carol, 
Carol 用 从 Alice 得 到 的 公开 密 钥 加 密 B.( 记 住 ，S. 是 她 想 买 的 秘密 )， 她 计算 B. 和 她 
刚 加 密 结 果 的 FBI。 她 把 FBI 发 送 给 Bob。 
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(4) Bob 对 nn 位 数 Bl，B;,，…，B;， 中 的 每 一 个 ， 凡 是 其 索引 不 在 他 从 Carol 接收 到 
的 FBI 中 出 现 的 每 一 位 都 用 其 补 代替 ， 他 把 这 个 新 的 ”位 数 B,，B:，…，B4 发 送 给 Alice, 

Carol X} n MERC, Coy or, Ce 中 的 每 一 个 ， 凡 是 其 索引 不 在 她 从 Bob 处 接收 到 的 FBI 
中 出 现 的 每 一 位 都 用 其 补 代 替 ， 她 把 这 个 新 的 二 位 数 C，C*，…，C* 发 送 给 Alice。 

(5) Alice 用 Bob 的 私人 密 钥 解密 所 有 Co a k An MRC Ch, e, Che Witi 
S; 四 C? ，(=1，…，A&)， 并 把 结果 发 送 给 Bob, 

Alice 用 Carol 的 私人 密 钥 解密 所 有 Bi, 8k An MABI, B3, s Bi, wH% 
SB;'，(=1，…，A)， 并 将 结果 发 送 给 Carol。 

(6) Bob 通过 将 C, 与 他 从 Alice 接收 到 的 第 5 个 数 相 异 或 来 计算 S, 。 

Carol 通过 将 B. 与 他 从 Alice 接收 到 的 第 c 个 数 相 异 或 来 计算 S. o 

该 协议 较 复 杂 ， 下面 举例 说 明 以 帮助 理解 。 

Alice 有 8 个 12 位 秘密 将 出 售 : Si 二 1990，S;= 二 471，S; 二 3860，S, 二 1487，S; 二 2235， 
Ss 二 3751，S; 二 2546 和 S,=4043, Bob 想 买 S') Carol 想 买 S,。 

(1) Alice 使 用 RSA 算法 ， 她 和 Bob 一 起 使 用 的 密 钥 对 是 : n=7387, e=5145 M d= 
777; 她 和 Carol 一 起 使 用 的 密 钥 对 是 : n=2747, e=1421 和 d= 二 2261。 她 把 各 对 公开 密 角 
分 别 告诉 给 Bob 和 Carol。 

(2) Bob 产生 8 个 12 位 的 随机 数 : B,=743, B,=1988, B,=4001, B,=2942, B,= 
3421，B, 二 2210，B; 二 2306，Bs 二 222， 并 把 它们 告诉 Carol; Carol 产生 8 个 12 位 的 随机 
we, Gl==17085 6=—Tll. G— We, 6 =302,. =u, 6-28, GC — 212 G= 
222， 并 把 它们 告诉 Bob. 

(3) Bob 想 买 $;， 所 以 他 用 Alice 给 他 的 公开 密 钥 加 密 C. 

2212° mod 7387 一 5928 
由 于 
2212=0100010100100 
5928= 1011100101000 
所 以 这 两 个 数 的 FBI 是 (0, 1, 4, 5, 6}, thd FBI RH Carol, 

Carol 4 S,, ， 所 以 她 用 Alice 给 她 的 公开 密 钥 加 密 Ba ， 并 计算 B 和 她 的 加 密 结果 的 
FBI， 她 把 (0, 1, 2, 6, 9, 10} 发 送 给 Bob。 

(4) Bob 取 B ，B: ，…，Bs， 并 对 索引 不 在 集合 (0, 1, 2, 6, 9, 10) 中 的 每 一 个 位 
用 其 补 来 代替 。 例 如 : 

B: = 111111000100 = 1988 
B, = 011001111100 = 1660 
他 将 Bi, Bz, «+, Bs 发 送 给 Alice. 

Carol 取 C，C:  ，…，Cs。 并 对 索引 不 在 集合 (0, 1, 4, 5, 6) 中 的 每 一 个 位 用 其 补 
来 代替 。 例 如 : 

C, = 0100010100100 = 2212 
C', = 1011100101000 = 5928 
她 将 Ci, Ci, =, Cy RIK Alice, 

(5) Alice 用 Bob 的 私人 密 钥 来 解密 所 有 的 C;， 并 把 该 结果 与 S 相 异 或 。 例 如 ， 对 

于 ;一 7， 
592877mod 7387 = 2212, 2546 ® 2212 = 342 
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她 将 该 结果 发 送 给 Bob, 
Alice 用 Carol 的 私人 密 钥 来 解密 所 有 的 Bi ， 并 把 该 结果 与 S 相 异 或 。 例 如 ， 对 于 ;一 2， 
166025 mod 2747=1988, 471 ® 1988=1555 
她 将 该 结果 发 送 给 Carol, 
(6) Bob 通过 将 Ci 与 他 从 Alice 接收 到 的 第 7 个 数 相 异 或 来 计算 S: 
2212 ® 342=2546 
Carol 通过 将 B; 与 她 从 Alice 接收 到 的 第 2 个 数 相 异 或 来 计算 S;: 
1988 @ 1555=471 
该 协议 对 任意 数目 的 买主 都 有 效 。 如 果 Bob、Carol 和 Dave 三 人 想 买 秘密 ， 则 给 每 个 买 
者 两 个 公开 密 钥 ， 分 别 相对 于 另外 两 个 人 。 每 一 个 买 者 能 从 其 他 每 一 个 买主 得 到 一 组 数 。 然 
后 ， 他 们 与 Alice 一 起 对 每 组 数 都 完成 该 协议 ， 并 将 其 与 所 有 来 自 Alice 的 最 终结 果 相 异 或 
就 得 到 他 们 的 秘密 。 详 情 见 文献 [1374、1175] 。 
遗憾 的 是 ， 一 对 不 诚实 的 参与 者 能 够 进行 欺骗 。Alice 和 Carol 合谋 可 以 很 容易 地 找 出 
Bob 得 到 什么 秘密 : 如 果 他 们 知道 C 的 FBI 和 Bob 的 加 密 算法 ， 他 们 就 能 找到 2 使 得 C, 有 
正确 的 FBI。 而 Bob 和 Carol 合谋 可 以 很 容易 地 从 Alice 得 到 所 有 的 秘密 。 
如 果 假 定 参 与 者 都 很 诚实 ， 则 协议 很 简单 。 
(1) Alice 用 RSA 加 密 所 有 的 秘密 ， 并 把 它们 发 送 给 Bob: 


Ci 一 Simod n 
(2) Bob 选择 他 的 秘密 C 及 一 个 随机 数 +， 并 将 C 发 送 给 Alice: 
C'=C,r‘mod n 
(3) Alice 将 P' 发 送 给 Bob: 
P'=C'*mod n 
(4) Bob 计算 Ss 
S,=P',;!mod n 


如 果 参 与 者 可 能 是 不 诚实 的 ， 那 么 Bob 可 以 用 有 零 知 识 证 明 : 他 知道 某 个 使 得 C'= 
Cor*mod n， 并 保持 5 的 秘密 直到 在 第 (3) 步 中 Alice 把 P“, 


23.10 公正 和 故障 保险 密码 系统 


23. 10.1 公正 的 Diffie-Hellman 


公正 密码 系统 是 以 软件 方式 进行 密 钥 托管 的 一 种 方法 (参见 4. 14 节 )。 这 个 例子 取 自 
Silvio Micali[1084.1085] 3 它 已 取得 专利 口 86.1087] 5 

在 基本 Diffie-Hellman 方案 中 ， 一 组 用 户 共享 一 个 素数 p 和 一 个 产生 元 gg Alice HH 
人 密 钥 是 *， 公 开 密 钥 是 =g mod p. 

下 面 介绍 怎样 使 Diffie-Hellman 方案 公正 (这 个 例子 使 用 了 5 个 托管 人 ) 。 

(1) Alice 选择 5 个 比 p—1 小 的 整数 s;、s,、s3、5s Al ss, Alice 的 私人 密 钥 是 : 

s=(s, +s, +s; +s, tss Ymod (p—1) 
AF BAR: 
t=g'mod p 
Alice 计算 : 
t=gimod p i=1, 2, =, 5 
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Alice 的 公开 的 共享 密 钥 是 t;:， 私 人 的 共享 密 钥 是 *i。 

(2) Alice 发 送 给 每 个 托管 人 一 段 私 人 密 钥 及 其 相应 的 一 段 公开 密 钥 。 例 如 ， 她 把 s 和 
i 发 送 给 1 号 托管 人 。 她 把 t 发送 给 KDC。 

(3) 每 一 个 托管 人 验证 : 

ti =g“mod p 

如 果 它 成 立 ， 则 该 托管 人 对 t 签名， 并 把 它 发 送 给 KDC。 然 后 托管 人 把 s 存储 在 一 个 安全 
的 地 方 。 

(4) 在 接收 到 所 有 5 段 公 开 密 钥 后 ，KDC 验证 

t=(tiXts Xt Xt, Xts)mod p 

如 果 它 成 立 ，KDC 认可 这 个 公开 密 钥 。 

至 此 KDC 知道 每 一 个 托管 人 都 有 一 段 有 效 密 钥 ， 而 且 如 果 需 要 他 们 还 能 一 起 重 构 该 私 
APRA. PRIM, 无论 是 KDC 还 是 任意 4 个 托管 人 都 不 能 重 构 Alice 的 私人 密 钥 。 

Micali 的 文章 "25 还 含有 使 RSA 成 为 公正 的 过 程 以 及 把 门限 方案 和 公正 的 密码 系统 
组 合 在 一 起 的 过 程 ， 使 得 个 托管 人 中 有 wm 个 在 场 就 能 重 构 该 私人 密 钥 。 


23. 10.2 故障 保险 的 Diffie-Hellman 


和 前 面 的 协议 一 样 ， 一 组 用 户 共 享 一 个 素数 p 和 一 个 产生 元 g，Alice MAA RHE ;， 
公开 密 钥 是 t= gimod p, 

(1) KDC 选择 一 个 0~p—2 之 间 的 随机 数 B， 并 使 用 位 承诺 协议 承诺 B (A 4. 9 节 ) 。 

(2) Alice 选择 一 个 0~p 一 2 之 间 的 随机 数 A， 并 将 g^ mod p 发 送 给 KDC, 

(3) 用 户 和 使 用 一 种 可 验证 的 秘密 共享 方案 (参见 3.7 节 ) 的 每 一 个 托管 人 共享 A。 

(4) KDC 把 B 泄露 给 Alice。 

(5) Alice 验证 第 (1) 步 中 的 承诺 ， 然 后 将 她 的 公开 密 钥 设置 为 : 

t=(g“)g?mod p 





将 她 的 私人 密 钥 设置 为 : 

s=(A+B)mod(p—1) 
托管 人 能 够 重 构 A。 因 为 KDC 知道 B， 所 以 能 重 构 s。 而 且 ，Alice AAE AI FATES Bd OP aie 
发 送 未 经 认可 的 信息 。 在 文献 1946, 833] 中 讨论 的 这 种 协议 已 取得 专利 。 


23. 11 知识 的 零 知 识 证 明 


23. 11. 1 离散 对 数 的 零 知 识 证 明 
Peggy 打算 向 Victor 证 明 她 知道 一 个 z 满足 : 
A*=B(mod p) 
其 中 p 是 素数 ， 而 z 是 与 p 一 1 互 素 的 随机 数 。 数 A、B 和 p BAW, ERWE, Fe 
是 Peggy 怎样 在 不 泄露 z 的 情况 下 证 明 她 知道 x (参见 5. 1 4) 88-9871 。 


(1) Peggy 产生 t 个 随机 数 71，rs，…,， ro ri 小 于 Pp 一 1。 
(2) Peggy 对 所 有 的 i tE h: =A mod p， 并 将 结果 发 送 给 Victor. 
(3) Peggy 和 Victor 参与 硬币 抛 斤 协 议 以 产生 t 个 位 bi ，6bs，…*，b,。 


(4) 对 所 有 上 个 位 ，Peggy 完成 下 列 两 种 情况 中 的 一 种 ， 
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(a) 如 果 6b, 二 0， 她 将 rx; 发 送 给 Victor。 
(b) 如 果 b=1, WH S; 二 (ri; 一 r;)mod(p 一 1) RK Victor, HP j #b,=1 的 
最 小 值 。 
(5) 对 所 有 t 位，Victor 进一步 证 明 下 列 两 种 情况 中 的 一 种 : 
(a) WR 6b; 二 0， 那 么 A’ =h; (mod p). 
b) 如 果 6,=1, ABA As =A; ‘(mod p), 
(6) Peggy #4 Z RIK Victor: 
Z=(x—r;)mod(p—1) 
(7) Victor 进一步 证 明 : 
A’=Bh; '(mod p) 
Peggy 欺骗 成 功 的 概率 是 2“。 


23. 11.2 破译 RSA 能 力 的 零 知识 证 明 


Alice 知道 Carol 的 私人 密 钥 ,或 许 她 破译 了 RSA, 或许 她 进入 Carol 的 房子 并 偷 到 了 
该 密 钥 。Alice 打算 使 Bob 相信 她 知道 Carol 的 密 钥 ,然而 ， 她 不 打算 将 这 个 密 钥 告诉 Bob, 
甚至 也 不 为 Bob 解密 Carol 的 任何 一 个 消息 。 下 面 是 Alice 使 Bob 相信 她 知道 Carol 的 私人 
密 钥 的 一 个 零 知识 协议 中。 
Carol 的 公开 密 钥 是 <:， 私 人 密 钥 是 4，RSA 模 数 是 no 
(1) Alice 和 Bob 商定 一 个 随机 的 & 和 m， 使 得 
km=e(mod n) 
他 们 应 当 随 机 地 选择 这 些 数 : 使 用 一 种 硬币 抛掷 协议 来 产生 一 个 &， 然 后 计算 m., WIR A 
m 两 个 都 大 于 3， 协 议 继续 ; 否则 ， 重 新 选择 。 
(2) Alice 和 Bob 产生 一 个 随机 密 文 C， 他 们 应 当 再 一 次 使 用 硬币 抛掷 协议 。 
(3) Alice 使 用 Carol 的 秘密 密 钥 来 计算 , 
l M=c*mod n 
然后 计算 : 
X 一 Memod n 
并 将 X 发 送 给 Bob, 
(4) Bob 证 明 z”mod 2 一 C， 如 果 成 立 ， 他 相信 Alice 所 说 的 事 是 真 的 。 
有 一 个 类 似 的 协议 能 用 来 说 明 破译 离散 对 数 问 题 的 能 力 *。 


23. 11.3 n 是 一 个 Blum 整数 的 零 知 识 证 明 


有 无 真正 实用 的 零 知识 来 证 明 n 二 pg (p Ag 是 同 余 3 模 4 的 素数 ) 仍 是 未 知 的 。 然 而 ， 
WREE n RA pa (r 和 s 是 奇数 ) 的 形式 ， 那么 可 以 将 Blum 整数 用 在 密码 学 中 。 而 且 存 
在 一 种 零 知 识 证 明 ， 证明 n 具有 那 种 形式 。 

假定 Alice 知道 Blum 整数 n 的 因子 分 解 ， 其 中 nn 具有 上 述 形式 。 下面 所 介绍 的 就 是 
Alice 怎样 向 Bob WEH n BÆ ERER., 

(1) Alice 把 具有 雅克 比 符号 一 1 mod n 的 一 个 数 发 送 给 Bob, 

(2) Alice 和 Bob 共同 商定 随机 二 进 制 数 : bis bo, ts bro 

(3) Alice 和 Bob 共同 商定 随机 数 : 21, T29 os Tro 

(4) XF i=1, 2, =, k, Alice 将 以 下 4 个 数 中 一 个 数 的 平方 根 模 nn 发送 给 Bob: z,, 
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一 Xi:，ux;， 一 ux;。 该 平方 根 必 须 具 有 雅克 比 符号 b. 
Alice 成 功 欺骗 的 可 能 性 是 1/24. 


23.12 盲 签 名 


David Chatum 发 明了 盲 签名 的 概念 (参见 5.3 节 ) "9， 还 给 出 了 第 一 个 实现 方 
RO, YR RSA 算法 。 
Bob 有 一 个 公开 密 钥 e、 一 个 私人 密 钥 d MAARN n, Alice 打算 让 Bob 对 消息 m 
进行 盲 签 。 
(1) Alice 在 1~n 之 间 选 择 一 个 随机 值 k ， 然 后 她 通过 下 列 计算 隐 珊 mm: 
t=mk‘mod n 
(2) Bob 签署 z: 
t° =(mk) mod n 
(3) Alice 通过 下 列 计算 揭 开 t: 
s=t’/kmod n 
(4) 其 结果 是 : 
s=m"kmod n 
这 很 容易 证 明 ， 因 为 : 
t! =(mk) =m’k (mod n) 
所 以 
tt /k=m*k/k=m* (mod n) 
Chaum 在 文献 (320, 324] 中 发 明了 一 簇 更 复杂 的 盲 签名 算法 ， 称 为 无 预测 的 盲 签名 。 
这 些 签名 在 结构 上 更 为 复杂 ， 但 是 更 为 灵活 。 


23. 13 不 经 意 传输 


在 Michael Rabin 提出 的 这 个 协议 2s9 中 ，Alice 有 50% 的 机 会 把 两 个 素数 p 和 g 发 送 给 
Bob. Alice 不 知道 传输 是 否 成 功 (参见 5.5 W). CUR p Allg 泄露 了 RSA 的 私人 密 钥 ， 那 
么 该 协议 可 用 于 以 50% 的 成 功率 向 Bob 发 送 任意 消息 。) 

(1) Alice 将 两 个 素数 的 乘积 : n=pq, RIEA Bob. 

(2) Bob 选择 一 个 小 于 HHL, E x n 互 素 ， 他 发 送 给 Alice: 

a=x’mod n 

(3) 知道 p 和 g 的 Alice 计算 a 的 4 个 平方 根 : z+、n 一 +、y 和 nn 一 y。 她 随机 地 选择 这 
些 根 中 的 一 个 ， 并 将 它 发 送 给 Bob. 

(4) WMR Bob 接收 到 > 和 一 y， 他 能 计算 x 十 y 和 的 最 大 公 因 数 。 该 公 因 数 不 是 p 就 
是 g， 因 此 很 自然 就 有 n/p 二 gq。 

如 果 Bob 接收 到 z 或 n 一 +， 他 什么 都 不 能 计算 出 来 。 

该 协议 可 能 有 一 个 弱点 : Bob 能 计算 一 个 数 a， 使 得 给 定 a 的 平方 根 ， 就 始终 能 计算 n 
的 因子 。 


23.14 保密 的 多 方 计 算 


下 面 这 个 协议 来 自 文献 [1373]。Alice 知道 一 个 整数 i，Bob 知道 一 个 整数 7，Alice 和 
Bob 都 想 知 道 是 ;< 7， 还 是 ;>7， 但 Alice 和 Bob 都 不 希望 泄露 他 们 各 自 知道 的 整数 。 这 种 
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保密 的 多 方 计算 的 特殊 情况 (参见 6. 2 节 ) 有 时 称 为 姚 氏 百 万 富翁 问题 。 
lil, BE i 和 7 的 取 值 范围 是 从 1 一 100，Bob 有 一 个 公开 密 钥 和 一 个 私人 密 钥 。 
(1) Alice 选择 一 个 大 随机 数 zx， 并 用 Bob 的 公开 密 钥 加 密 : 
c= Es (zx) 
(2) Alice 计算 c 一 i:， 并 将 结果 发 送 给 Bob. 
(3) Bob 计算 下 面 的 100 个 数 : 
Yı =Dg(c—i+u) 1<u<100 
Ds 是 使 用 Bob 的 私人 密 钥 的 解密 算法 。 
他 选择 一 个 大 的 随机 素数 p(p 应 该 比 z 稍 小 一 点 儿 ，Bob 不 知道 z+， 但 Alice 能 容易 地 
告诉 他 z 的 大 小 )， 然 后 计算 下 面 100 个 数 : 
z,=y,mod p 1<u<100 
然后 他 对 所 有 uAzv. Suk 
| te ae | 2 
并 对 所 有 的 uw， 验 证 
Ur 三 下 
如 果 不 成 立 ，Bob 就 选择 另 一 个 素数 并 重复 试验 。 
(4) Bob 将 以 下 数列 发 送 给 Alice: 
zis Zoo, a Spey His zya tils =y tle p 
(5) Alice 检查 这 个 数列 中 的 第 i 个 数 是 否 同 余 z 模 p。 如 果 同 余 ， 她 得 出 的 结论 是 i<j; 
如 果 不 同 余 ， 她 得 出 的 结论 是 >j 
(6) Alice 把 这 个 结论 告诉 Bob. 
Bob 在 第 (3) 步 中 所 做 的 验证 完全 是 为 了 保证 第 〈4) 步 产生 的 数列 中 没有 任何 一 个 数 
出 现 两 次 ; 和 否则， 如果 2.=z,, Alice 就 将 知道 aj <b. 
该 协议 的 一 个 缺点 是 : Alice 在 Bob 之 前 就 获悉 了 计算 的 结果 。 没 有 什么 能 阻止 她 完成 
该 协议 直到 第 (5) 步 ， 然 后 在 第 (6) 步 拒绝 告诉 Bob 结果 ， 甚 至 在 第 6) 步 有 可 能 对 
Bob 撒谎 。 


协议 的 一 个 例子 
假设 他 们 使 用 RSA。Bob 的 公开 密 钥 是 7， 私 人 密 钥 是 23，n 二 55。Alice 的 秘密 值 i 是 
4, Bob 的 秘密 值 7 是 2〈 假 设 ; 和 7 的 可 能 取 值 仅 为 (1，2，3，4) )。 
(1) Alice 选择 2=39, Mi c=E,(39)=19, 
(2) Alice 计算 C—i=19—4=15, WH 15 发 送 给 Bob. 
(3) Bob 计算 下 面 4 个 数 : 
yı =Dg(15+1)=26 
y2=Dzg(15+2)=18 
ys =Dzg(15+3) =2 
yı =D, (15+4) =39 
他 选择 p=31, FIR 
zı =26 mod 31=26 
z, =18 mod 31=18 
z; =2 mod 31=2 
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2z4 一 39 mod 31=8 
他 完成 所 有 的 验证 ， 证 明 该 数列 是 好 的 。 

(4) Bob 以 下 述 顺 序 把 这 个 数列 发 送 给 Alice: 

265 185 2 于 1 CEL; Sl—26, 185 3; Ga BI 

(5) Alice 检查 这 个 数列 中 的 第 4 TREBMA c RP. AW 9#39Cmod 31), HF 
ij. 

(6) Alice 把 结果 告诉 Bob, 

该 协议 可 被 用 来 创建 更 复杂 的 协议 。 一 群 人 能 够 在 计算 机 网 络 上 进行 秘密 拍卖 。 他 们 将 
自己 安排 在 逻辑 组 中 ， 并 通过 单一 的 两 两 比较 来 确定 出 价 最 高 的 那个 组 。 为 了 防止 人 们 在 拍 
卖 中 间 改 变 自 己 的 出 价 ， 还 应 当 使 用 某 类 位 承诺 协议 。 如 果 拍 卖 是 荷兰 式 拍 卖 ， 那 么 最 高 出 
价 人 得 到 最 高 价 的 项 目 ; 如 果 是 英国 式 拍卖 ,那么 最 高 出 价 人 得 到 次 高 价 的 项 目 。( 这 由 第 
二 轮 两 两 比较 就 能 确定 。) 类 似 的 应 用 还 有 议价 、 谈 判 和 仲裁 。 


23.15 概率 加 密 


Shafi Goldwasser 和 Silvio Micali 发 明了 概率 加 密 (probabilistic encryption) 的 概 
A", 虽然 它 的 理论 使 它 成 为 已 发 明 的 最 安全 的 密码 系统 ， 但 它 的 早期 实现 是 不 切实 际 
Wy! 。 最 近 的 一 些 实现 方案 已 有 了 改变 。 

概率 加 密 的 本 质 在 于 消除 了 由 公开 密 钥 密码 学 引起 的 信息 泄露 。 因 为 密码 分 析 者 总 能 用 
公开 密 钥 加 密 一 些 随机 消息 ， 所 以 他 能 够 得 到 一 些 信息 。 假 设 他 已 有 密 文 CSE CM) ， 并 企 
图 恢复 明文 M， 他 可 随机 地 选择 一 个 消息 M ， 并 对 它 进行 加 密 C = Ex (M')。 如 果 C=C, 
那么 他 猜 到 了 那个 正确 的 明文 ; 如果 CAC, thal UCR 

而 且 ， 该 加 密 系统 不 会 泄露 原始 消息 的 任何 信息 。 用 公开 密 钥 密码 学 编码 ， 有 时 密码 分 
析 者 能 分 析 到 一 些 位 特性 ， 如 第 5、17 和 39 位 的 异 或 是 1 等 。 使 用 概率 加 密 ， 甚 至 这 类 信 
息 都 是 隐蔽 的 。 

虽然 没有 获得 很 多 信息 ， 但 是 允许 密码 分 析 者 用 公开 密 钥 加 密 随 机 消息 存在 的 潜在 问题 
是 : 每 当 密码 分 析 者 加 密 一 个 消息 时 ， 就 有 一 些 信息 泄露 给 他 ， 没有 人 能 实际 地 知道 泄露 了 
多 少 。 

概率 加 密 试图 消除 这 种 泄露 ， 目 标 是 对 密 文 或 任何 其 他 试验 明文 的 任何 计算 都 不 能 给 密 
码 分 析 者 关于 对 应 明文 的 任何 信息 。 

在 概率 加 密 中 ， 加 密 算法 是 概率 性 的 而 不 是 确定 性 的 。 换 名 话说， 大 量 的 密 文 将 解密 成 
一 个 给 定 的 明文 ， 而 用 于 任何 给 定 加密 中 的 特定 密 文 是 随机 选择 的 。 

Ci =Ex(M), Ci = Ex(M), G = Ex (M),*,C; = Ex(M) 
M =Dx(C,) = Dg (Cz) = De (C3) = % = Dg CC;) 

按照 概率 加 密 ， 密 码 分 析 者 不 再 能 用 加 密 随 机 明文 寻找 正确 的 密 文 。 为 了 解释 这 一 点 ， 
假定 密码 分 析 者 有 密 文 C' 二 Ex (M)， 即 使 他 正确 地 猜 到 了 M， 但 当 他 们 加 密 Er (CM) 时 ， 
结果 将 是 完全 不 问 的 C: Ci 。 他 不 能 比较 C 和 Ci， 所 以 他 也 就 不 可 能 知道 他 已 正确 地 猜 到 
了 消息 。 

这 是 一 个 令 人 惊异 的 严酷 事实 。 即 使 密码 分 析 者 有 公开 加 密 密 钥 、 明 文 和 密 文 ， 但 他 在 
没有 私人 解密 密 钥 情况 下 仍 不 能 证 明 该 密 文 就 是 明文 加 密 的 结果 。 即 使 他 采用 穷 举 搜索 也 只 
能 证 明 每 一 个 可 想象 到 的 明文 都 是 可 能 的 明文 。 

在 该 方案 中 ， 密 文 数 目 始 终 比 明文 多 。 你 不 必 在 这 方面 花 力 气 ， 它 是 许多 密 文 解 密 
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成 相同 明文 这 一 事实 的 结果 。 第 一 个 概率 加 密 方案 "5 的 密 文 比 明文 多 得 多 ， 以 至 于 无 
法 使 用 。 

然而 ，Manuel Blum 和 Shafi Goldwasser 提出 了 概率 加 密 的 有 效 实 现 方案 ， 此 方案 使 用 
17. 9 节 描 述 的 Blum Blum Shab (BBS) 随机 位 发 生 器 5 。 

BBS 发 生 器 基于 二 次 剩余 理论 。 有 两 个 同 余 3 模 4 的 素数 p 和 gq， 它们 是 私人 密 钥 ， 
它们 的 积 pg 二 nn 是 公开 密 钥 (小 心 保存 你 的 p 和 gq， 这 个 方案 的 安全 性 取决 于 分 解 的 
难度 ) 。 

加 密 消 息 M 时 ， 首 先 选择 一 个 与 互 素 的 随机 数 zx， 然后 计算 : 

XL) =z’ mod n 
用 ze 作为 BBS 伪 随 机 位 发 生 器 的 种 子 ， 并 且 将 发 生 器 的 输出 作为 一 个 序列 密码 。 将 发 生 器 
的 输出 与 M 进行 异 或 ， 每 次 1 位 。 发 生 器 的 输出 位 为 b; (zx; 的 最 低 有 效 位 ，zx; =r- mod 
n)， 所 以 : 
M =M, M: ,Ma ，……, ML 
C =M, 四 站 ,Ms ® b:,M; ® bz, M, Ob, tt 是 明文 的 长 度 
将 最 后 计算 的 值 x, 附 在 该 消息 的 尾部 ， 便 完成 了 加 密 过 程 。 

解密 这 个 消息 的 唯一 办 法 是 恢复 x。， 然 后 建立 一 个 相同 的 BBS 发 生 器 与 密 文 异 或 。 因 
为 BBS 发 生 器 对 左边 是 安全 的 ， 所 以 r 对 密码 分 析 者 没有 用 ， 只 有 知道 p Aa 的 人 才能 解 
密 该 消息 。 

M r 中 恢复 ze 的 C 语言 程序 如 下 : 

int x0 (int p, int q, int n, int t, int xt) 


int a; ba Us Va W; BF 

/* we already know that gcd(p, q) == 1 */ 
(void) extended_euclidian(p, q, &a, &b); 

u = modexp ((p+1)/4, t, p-1); 

v = modexp ((q+1)/4, t, q-1); 

w = modexp (xt%p, u, p); 

z = modexp (xt%q, v, q); 

return (b*q*w + a*p*z) % n; 


} 
一 旦 有 了 ze ， 解 密 就 容易 了 。 只 要 建立 BBS 发 生 器 并 用 密 文 异 或 它 的 输出 。 

通过 使 用 所 有 的 保密 位 x;， 而 不 是 最 低 有 效 位 ， 能 使 该 方案 运行 得 更 快 。 如 此 改进 后 ， 
Blum-Goldwasser 概率 加 密 比 RSA 还 快 ， 且 不 会 泄露 有 关 明 文 的 任何 消息 。 破 译 该 方案 的 
难度 与 分 解 n 的 难度 相同 。 

另 一 方面 ， 该 方案 完全 不 能 抗 选 择 密 文 攻击 。 根 据 右边 的 二 次 剩余 的 最 低 有 效 位 可 以 计 
算出 任何 二 次 剩余 的 平方 根 ， 如 果 能 这 样 计 算 ， 那 么 就 能 分 解 因子 。 详 情 见 文献 【1570、 
1571 WS J6]; 


23.16 ”量子 密码 学 


量子 密码 学 起 因 于 量子 世界 的 自然 不 确定 性 。 可 用 量子 密码 学 创建 一 个 具有 下 述 特性 的 
通信 信道 : 在 该 信道 中 想 不 干 扰 传 输 而 进行 窃听 是 不 可 能 的 。 物 理 法 则 保证 了 这 个 量子 信道 
的 安全 性 : 即使 窃听 者 能 做 他 想 做 的 任何 事情 ， 并 有 无 限 的 计算 资源 ,甚至 P 了 = NP。 
Charles Bennett, Gilles Brassrd, Claude Crépeau 以 及 其 他 人 已 经 扩展 了 这 种 思想 ， 描 述 了 
量子 密 钥 分 配 、 量 子 硬币 抛掷 、 量 子 位 承诺 、 量 子 不 经 意 传输 ， 以 及 量子 保密 多 方 计 算 ， 见 
sem (128, 129, 123, 124, 125, 133, 126, 394, 134, 392, 243, 517, 132, 130, 244, 
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393, 396] 中。 最 好 的 量子 密码 学 综述 可 在 文献 [131] 中 找到 ,文献 [1651] 是 另外 一 篇 
较 好 的 非 技 术 性 综述 。 完 整 的 量子 密码 学 文献 目录 是 [237]. 

尽管 量子 密码 学 仍然 是 密码 学 中 一 个 极其 初步 的 科目 ， 但 Bennett 和 Brassard 却 实 际 建 
立 了 量子 密码 的 一 种 工作 模型 52722224 。 现 在 我 们 已 经 有 了 实验 性 的 量子 密码 。 

所 以 请 你 回 到 座位 去 ， 喝 杯 饮 料 放 松 一 下 ， 我 正 打 算 解 释 这 里 所 谈 的 事情 。 

根据 量子 力学 ， 粒 子 实际 上 不 会 在 任何 一 个 单独 的 地 方 存在 ， 它 们 以 不 同 概率 同时 在 多 
个 地 方 出 现 ， 如 果 某 人 能 看 见 的 话 。 直 到 科学 家 取得 进展 并 测量 粒子 时 ， 它 才 跌 入 一 个 单独 
的 场所 。 但 你 不 能 同时 测量 粒子 的 每 个 方面 〈 例 如 ， 位 置 和 速率 ) ， 如 果 你 测量 了 这 两 个 量 
中 的 一 个 ， 那 么 正 是 这 种 测量 活动 破坏 了 测量 另 一 个 量 的 任何 可 能 性 。 在 量子 世界 中 存在 一 
种 基本 的 不 确定 性 ， 并 且 是 无 法 避免 的 。 

这 种 不 确定 性 能 用 来 产生 秘密 密 钥 。 当 光子 传导 时 会 在 某 个 方向 上 发 生 振 荡 ， 上 、 
B.A. A, 多数 则 是 按 某 个 角度 振荡 。 正 常 的 太阳 光 是 非 极 化 的 ， 在 每 一 个 方向 都 
有 光子 振荡 。 当 大 量 的 光子 在 同一 个 方向 振荡 时 ， 它 们 是 极 化 的 (polarized)， 极 化 滤 
波 器 只 人 允许 在 某 一 方向 极 化 的 光子 通过 。 而 其 余 的 光子 则 不 能 通过 。 例 如 ， 水 平 极 化 
滤波 器 只 允许 水 平方 向 极 化 的 光子 通过 。 将 极 化 滤波 器 旋转 90"”， 则 只 允许 垂直 方向 的 
极 化 光子 通过 。 

假如 你 有 一 束 水 平 极 化 光子 ， 如 果 它 们 企图 通过 一 个 水 平方 向 的 极 化 滤波 器 ， 那 么 它们 
可 以 全 部 通过 。 慢 慢 地 将 极 化 滤波 器 转动 90”， 通 过 的 光子 数目 逐渐 减 小 ， 直 到 完全 没有 光 
子 通 过 ， 这 是 反 直 觉 的 。 你 会 认为 极 化 滤波 器 刚 旋转 一 点 儿 ， 就 将 阻止 所 有 光子 通过 ， 因 为 
这 些 光 子 是 水 平 极 化 的 。 但 是 在 量子 力学 中 ， 每 一 个 粒子 都 有 突然 将 其 极 化 切换 以 便 与 极 化 
滤波 器 匹 配 的 可 能 性 。 如 果 角 度 偏 一 点 儿 ， 这 种 可 能 性 就 大 ; 如 果 偏 离 角度 是 90"， 可 能 性 
WO; 如果 偏离 角度 为 45"， 可 能 性 为 50%。 

可 以 在 任意 基 (basis) 上 测量 极 化 强度 : 直角 的 两 个 方向 。 一 个 基 例 子 就 是 直线 : 水 
平 线 和 垂直 线 。 另 一 个 就 是 对 角 线 : 左 对 角 线 和 右 对 角 线 。 如 果 一 个 光子 脉冲 在 一 个 给 定 的 
基 上 被 极 化 ， 而 且 你 在 同一 个 基 上 测量 ， 你 就 得 到 了 极 化 强度 。 如 果 你 在 一 个 错误 的 基 上 测 
量 极 化 强度 ， 你 得 到 的 将 是 随机 结果 。 我 们 将 使 用 这 个 特性 来 产生 秘密 密 钥 : 

(1) Alice 把 一 串 光子 脉冲 发 送 给 Bob， 其 中 每 一 个 脉冲 都 随机 地 在 4 个 方向 上 被 极 化 : 
水 平 线 、 垂 直线 、 左 对 角 线 和 右 对 角 线 。 

例如 ，Alice 给 Bob 发 送 的 是 : 

i = hs = 

(2) Bob 有 一 个 极 化 检测 器 。 他 能 将 检测 器 设置 成 测量 直线 极 化 ， 或 设置 成 测量 对 角 线 
极 化 ， 但 他 不 能 同时 做 这 两 种 测量 ， 因 为 量子 力学 不 允许 他 这 样 做 。 测 量 一 个 就 破坏 了 测量 
另外 一 个 的 任何 可 能 性 。 所 以 他 随机 地 设置 检测 器 。 例 如 ， 

X++xkxXxk+xX++ 
现在 ， 当 Bob 正确 地 设置 了 他 的 检测 器 时 ， 他 将 记录 正确 的 极 化 。 如 果 他 将 检测 器 设置 成 
测量 直线 极 化 ， 而 脉冲 被 直线 极 化 ， 那 么 他 将 获得 Alice 极 化 光子 的 方向 ;如 果 他 将 检测 器 
设置 成 测量 对 角 线 极 化 ， 而 脉冲 被 直线 极 化 ， 那 么 他 将 得 到 一 个 随机 的 测量 结果 。 他 不 知道 
差别 ， 在 本 例 中 ， 他 可 能 获得 结果 : 
/| = VN = | 
(3) Bob 在 一 个 不 安全 的 信道 上 告诉 Alice， 他 使 用 了 什么 设置 。 
(4) Alice 告诉 Bob 哪些 设置 上 是 正确 的 。 在 本 例 中 ， 检 测 器 对 第 2、6、7、9 脉冲 是 正 
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确 设置 。 
(5) Alice 和 Bob 只 保存 被 正确 测量 的 那些 极 化 。 在 本 例 中 ， 他 们 保存 : 
x | x xxx \— xx 
使 用 预先 设置 的 代码 ，Alice 和 Bob 能 把 那些 极 化 测量 转变 成 位 。 例 如 ， 水 平 线 和 左 对 角 线 
是 1， 垂 直线 和 右 对 角 线 是 0。 在 本 例 中 ， 他 们 两 人 都 有 : 0011, 

所 以 ，Alice 和 Bob 产生 了 4 位， 利用 该 系统 他 们 能 产生 需要 的 位 。Bob 猜 出 正确 设置 
的 机 会 平均 是 每 次 50%， 所 以 为 了 产生 n 位 ，Alice 必须 发 送 2n 个 光子 脉冲 。 他 们 能 使 用 
这 些 位 作为 对 称 算法 的 秘密 密 钥 ， 或 者 能 为 一 次 一 密 乱 码 本 产生 足够 的 位 并 提供 绝对 的 安 
全 性 。 

但 是 别 高 兴 得 太 早 ，Eve 有 可 能 正在 窃听 。 与 Bob 一 样 ， 她 必须 猜测 测量 的 是 哪 一 种 类 
型 的 极 化 ， 并 且 像 Bob 一 样 ， 她 的 猜测 中 有 一 半 是 错误 的 。 因 为 错误 的 猜测 改变 了 光子 的 
极 化 ， 所 以 她 在 她 窃听 的 脉冲 中 引起 了 错误 。 如 果 她 这 样 做 了 ，Alice 和 Bob 将 最 后 得 出 不 
AS OER. WREX, Alice 和 Bob 可 以 像 下面 这 样 完成 协议 : 

(6) Alice 和 Bob 比较 位 串 中 少量 的 几 位 。 如 果 有 差别 ， 他 们 知道 正在 被 窃听 ; 如 果 没 
有 任何 差别 ， 他 们 放弃 用 于 比较 的 那些 位 ， 而 使 用 剩 下 的 位 。 

增强 这 个 协议 ， 即 使 在 Eve 存在 的 情况 下 ,仍然 允许 Alice 和 Bob 使 用 他 们 的 
位 33。 他 们 只 能 比较 那些 位 的 子 集 中 的 一 部 分 。 然 后 ， 如 果 没 有 找到 差别 ， 他 们 只 需 
要 放弃 子 集 中 的 一 位 。 虽 然 只 有 50% 的 概率 检测 到 窃听 ， 但是， 如果 他 们 采用 个 不 同 的 
子 集 ， 那 么 在 不 检测 的 情况 下 Eve 窃听 的 概率 为 1/2”。 

在 量子 世界 没有 被 动 窃听 这 样 的 事情 。 如 果 Eve 试图 恢复 所 有 的 位 ， 那 么 她 就 必须 破 
坏 通信 。 

Bennett 和 Brassard 建立 了 一 个 量子 密 钥 分 配 的 工作 模型 ， 并 在 一 张 激光 工作 台 上 进行 
了 安全 的 位 交换 。 最 近 我 听 说 英国 电信 部 门 中 一 些 人 正 通过 一 根 10 千 米 长 的 光纤 链 路 发 送 
fie 27922851933) 。 他 们 预测 50 千 米 长 是 可 行 的 。 这 种 想法 是 惊人 的 。 
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实现 方案 实例 


设计 协议 和 算法 只 是 密码 学 的 一 个 方面 ， 将 它们 实际 应 用 在 可 操作 的 系统 中 则 是 另 一 方 
面 。 理 论 上 ， 理 论 与 实践 是 一 致 的 。 但 在 实际 应 用 中 ， 它 们 还 是 有 区 别 的 。 通 常 ， 理 论 上 很 
好 的 方案 在 实际 中 却 无 法 实现 。 或 者 是 对 带宽 的 要 求 太 高 ， 或 者 协议 中 延迟 太 多 。 第 10 章 
讨论 了 一 些 有 关 应 用 密码 算法 的 问题 ， 本 章 给 出 了 一 些 实际 实施 方案 的 例子 。 


24.1 IBM 秘密 密 钥 管理 协议 

20 世纪 70 年 代 末 ， 针 对 计算 机 网 络 中 通信 及 文件 安全 问题 ，IBM 公司 开发 了 一 个 完 
的 密 钥 管理 系统 ， 该 系统 仅 采 用 了 对 称 密 码 学 5 IO 。 该 协议 的 总 体 原 理 更 重 于 实际 机 制 : 
密 钥 的 自动 化 产生 、 分 发 、 安 装 、 存 储 、 更 改 以 及 清除 ， 该 协议 确保 基本 密码 学 算法 的 安 
全 性 。 

该 协议 主要 提供 了 三 项 功能 : 一 个 服务 器 与 多 个 终端 之 间 的 安全 通信 、 服 务 器 上 安全 的 
文件 存储 和 服务 器 之 间 的 安全 通信 。 虽 然 该 协议 经 过 修改 后 能 够 支持 直接 的 端 - 端 通信 ， 但 
协议 本 身 并 不 提供 此 种 服务 。 

网 络 上 的 每 一 个 服务 器 都 与 一 个 既 用 做 加 密 又 用 做 解密 的 密码 设备 相连 。 每 个 服务 器 都 
有 一 个 主 密 钥 (Master Key)KM。 和 KM, 的 两 个 简单 变型 KM, 与 KM, 。 这 些 密 钥 用 于 加 
密 其 他 密 钥 和 产生 的 新 密 钥 。 每 个 终端 都 有 一 个 终端 主 密 钥 (Master Terminal Key) 
KMT， 用 于 实现 不 同 终端 之 间 的 密 钥 交换 。 

服务 器 存储 KMT, FH KM, 加 密 。 所 有 其 他 密 钥 ， 如 用 于 加 密 文件 的 密 钥 〈 称 为 
KNF), WA KM 加 密 形式 存储 。 主 密 钥 KM, 存储 在 某 个 非 易 失 的 安全 模块 中 。 如 今 它 既 
可 以 是 存储 在 ROM 中 的 密 钥 ， 也 可 以 是 一 个 磁卡 ， 甚 至 可 由 用 户 手工 输入 〈 可 能 作为 文字 
串 然 后 作为 密 钥 碾 压 )。KM, 和 KM, 并 不 存储 在 系统 内 ， 需 要 时 ， 由 KM, 计算 出 来 。 服 务 
器 之 间 通 信 所 用 的 会 话 密 钥 在 服务 器 内 通过 伪 随 机 数 处 理 产 生 。KNF 也 以 同样 的 方式 产生 。 

该 协议 的 核心 是 一 个 能 防 自 改 的 模块 ， 称 为 密码 设备 (cryptographic facility)。 在 服务 
器 和 终端 上 ， 所 有 的 加 密 与 解密 都 在 该 设备 内 完成 。 最 重要 的 密 钥 ， 即 那些 用 于 产生 实际 加 
密 密 钥 的 密 钥 ， 也 存储 在 这 个 模块 内 。 这 些 密 钥 一 旦 存 人 便 无 法 读 出 。 它 们 根据 用 途 分 类 : 
专用 于 某 一 目的 的 密 钥 不 会 误 用 于 其 他 的 目的 。 密 钥 控 制 矢量 (key control vector) 的 概念 
也 许 是 该 系统 最 大 的 贡献 。Donald Davies Fil William Price 在 [435] 中 详细 讨论 了 该 密 钥 管 
理 协议 。 





一 种 变型 

文献 [1478] 给 出 了 对 该 方案 的 主 密 钥 和 会 话 密 钥 的 一 种 变型 。 该 方案 围绕 网 络 节点 设 
置 ， 具 有 为 本 地 终端 服务 的 密 钥 公证 (key notarization) 设备 。 该 方案 设计 旨 在 提供 ; 

。 任何 两 个 终端 用 户 之 间 的 双向 安全 通信 。 

。 使 用 加 密 邮 件 的 安全 通信 。 

。 个 人 文件 的 保护 。 

+ 数字 签名 功能 。 
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在 用 户 间 进行 通信 和 文件 传递 时 ， 该 方案 使 用 在 密 钥 公 证 设备 中 产生 的 密 钥 ， 并 用 主 密 
钥 加 密 后 传 给 用 户 ， 用 户 的 身份 与 密 钥 一 起 提供 证 明 : 在 一 对 特定 的 用 户 之 间 使 用 了 会 话 密 
钥 。 密 钥 公 证 属性 就 是 该 体制 的 核心 。 尽 管 该 系统 没有 使 用 公开 密 钥 密码 学 ,但 它 却 具有 类 
似 数字 签名 的 功能 : 密 钥 只 有 一 个 特定 的 来 源 ， 也 只 能 被 一 个 特定 的 目的 站 读 出 。 


24.2 MITRENET 


公开 密 钥 密码 学 最 早 的 实现 之 一 是 一 个 实验 系统 MEMO (MITRE Encrypted Mail Office), 
MITRE 是 美国 国防 部 的 一 个 承包 商 ， 也 是 政府 智囊 团 。MEMO 是 为 MITRENET 的 网 络 
用 户 提供 安全 的 电子 邮件 系统 。MEMO 使 用 公开 密 钥 密 码 进 行 密 钥 交换 ， 使 用 DES 进行 文 
件 加 密 。 

在 MEMO 系统 中 ， 公 开 密 钥 分 配 中 心 是 网 络 上 单独 的 一 个 节点 ， 所 有 的 公开 密 钥 都 存 
储 在 该 中 心 。 这 些 公开 密 钥 存储 在 EPROM 中 ， 以 防 任何 人 对 它 进行 更 改 。 私 钥 由 用 户 或 
系统 产生 。 

为 了 使 用 户 安全 地 发 送信 息 ， 系 统 首 先 与 公开 密 钥 分 配 中 心 建立 一 条 安全 通信 信道 。 用 
户 向 中 心 请 求 一 个 含有 所 有 公开 密 钥 的 文件 。 如 果 用 户 使 用 私人 密 钥 通过 了 身份 识别 测试 ， 
中 心 就 将 该 文件 发 给 该 用 户 的 工作 站 。 为 了 保证 文件 的 完整 性 ， 这 份 清单 用 DES 加 密 。 

该 系统 使 用 DES 加 密 信息 。 系 统 首先 产生 一 个 随机 的 DES 密 钥 对 文件 加 密 ， 用 户 用 该 
DES 密 钥 加 密 文件 ， 并 用 接收 者 的 公开 密 钥 加 密 DES 密 钥 。 用 DES 加 密 的 文件 和 用 公开 密 
钥 加 密 的 密 钥 都 发 送 给 接收 者 。 

MEMO 没有 考虑 密 钥 丢失 ， 但 考虑 了 用 校 验 和 来 检测 消息 的 完整 性 。 系 统 内 没有 鉴别 。 

该 系统 所 用 的 特定 公开 密 钥 实现 基于 GF”) 域 上 的 Diffie-Hellman 密 钥 交换 协议 ， 
虽然 它 易于 更 改 系统 以 使 用 更 大 的 数 ， 但 在 系统 实现 之 前 即 就 证 明 是 不 安全 的 〈 参 见 11.6 
i). MEMO 主要 趋 于 实验 的 目的 ， 在 实际 运行 的 MITRENET 系统 中 从 未 使 用 过 。 


24.3 ISDN 
Bell-Northern 实验 室 开 发 了 一 种 安全 的 综合 业务 数字 网 (Integrated Services Digital 
Network, ISDN) 电话 终端 ** 00924350 。 作 为 电话 ， 它 的 开发 没有 超过 原型 。 最 终 的 产品 


是 分 组 数据 加 密 重 秋 (Packet Data Securitures Overlay) 。 该 终端 采用 Diffie-Hellman 3% 4H 
交换 、RSA 数字 签名 和 DES 数据 加 密 ， 它 能 以 64Kb/s 传输 和 接收 语音 和 数据 。 


24.3.1 密 钥 


该 终端 将 一 个 长 期 使 用 的 公开 密 钥 / 私 人 密 钥 密 钥 对 散人 在 电话 中 ， 私 人 密 钥 存储 在 电 
话 中 防 自 改 的 区 域内 ， 公 开 密 钥 则 作为 电话 的 身份 识别 ， 这 些 密 钥 都 是 电话 机 自身 的 部 分 ， 
不 能 以 任何 方式 更 改 它们 。 

此 外 ， 电 话 中 还 存储 另外 两 个 公开 密 钥 。 其 一 是 电话 所 有 者 的 公开 密 钥 ， 它 用 于 鉴别 来 
自 所 有 者 的 命令 ， 并 可 通过 所 有 者 签发 的 指令 而 改变 ， 这 样 ， 电 话 的 所 有 权 可 以 从 一 个 人 转 
到 另 一 个 人 。 

存储 在 电话 中 的 另 一 个 公开 密 钥 是 网 络 的 公开 密 钥 ， 它 用 于 鉴别 来 自 网 络 密 钥 管理 设备 
的 指令 ， 同 时 也 用 于 鉴别 网 络 中 其 他 用 户 的 呼叫 。 该 密 钥 也 可 通过 所 有 者 发 出 指令 而 更 改 ， 
这 一 特性 允许 所 有 者 将 电话 从 一 个 网 络 移 到 另 一 个 网 络 。 

这 些 密 钥 都 作为 长 期 密 钥 ， 即 它们 极 少 改变 。 电 话 中 还 存储 短期 公开 密 钥 /私人 密 钥 密 
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钥 对 ， 它 们 包装 在 一 个 由 密 钥 管理 设备 签发 的 证 书 中 。 当 两 个 电话 准备 通话 时 ， 彼 此 要 交换 
证 书 ， 这 些 证 书 将 由 网 络 的 公开 密 钥 来 鉴别 。 

证 书 的 这 种 交换 和 验证 只 能 建立 电话 到 电话 的 保密 呼叫 ， 要 建立 个 人 到 个 人 的 保密 呼 
叫 ， 还 要 使 用 男 外 的 协议 。 所 有 者 的 私人 密 钥 存储 在 一 个 叫做 点 火 密 钥 (ignition key) 的 
硬件 中 ， 该 硬件 由 所 有 者 插入 电话 中 。 点 火 密 钥 包括 所 有 者 的 私人 密 钥 ， 私 人 密 钥 是 用 只 有 
所 有 者 才 知 道 的 口令 加 密 的 《电话 、 网 络 密 钥 管理 设备 和 任何 其 他 人 均 不 知道 该 口令 )。 点 
火 密 钥 还 包括 一 个 由 网 络 密 钥 管 理 设备 签 发 的 证 书 ， 该 证 书 含 有 所 有 者 的 公开 密 钥 和 某 些 识 
别 信 息 (如 名 称 、 公 司 、 安 全 许可 、 职 称 、 最 喜欢 的 比萨 饼 等 )。 证 书 也 是 加 密 的 ， 要 解密 
这 些 信 息 并 将 其 输入 到 电话 中 ， 所 有 者 必须 在 电话 键盘 上 键入 其 口令 。 电 话 利 用 这 些 信息 建 
立 呼 叫 后 ， 所 有 者 一 旦 取出 其 点 火 密 钥 ， 这 些 信 息 就 会 被 删 去 。 

电话 中 还 存储 一 组 来 自 网 络 密 钥 管理 设备 的 证 书 ， 这 些 证 书 授权 特定 的 用 户 使 用 特定 的 
电话 。 


24. 3.2 呼叫 


从 Alice 到 Bob 的 呼叫 以 如 下 方式 进行 : 

(1) Alice 将 其 点 火 密 钥 插入 电话 并 输入 口令 。 

(2) 电话 质询 点 火 密 钥 以 确定 Alice 身份 并 向 Alicle 发 出 拨号 音 。 

G) 电话 审核 各 种 证 书 以 保证 用 户 具有 使 用 特定 电话 的 授权 。 

(4) Alice 拨 号， 电话 开始 呼叫 。 

(5) 两 个 电话 用 公开 密 钥 密码 学 的 密 钥 交换 协议 产生 一 个 唯一 且 随 机 的 会 话 密 钥 。 所 有 
的 后 续 协 议 步骤 均 用 该 密 钥 加 密 。 

(6) Alice 的 电话 传送 其 证 书 和 用 户 鉴 别 。 

(7) Bob 的 电话 用 网 络 公开 密 钥 鉴 别 证 书 和 用 户 认证 上 的 签名 。 

(8) Bob 的 电话 初始 化 一 个 询问 应 答 (challenge-and-reply) 序列 ， 它 要 求 对 发 出 的 时 
间 相 关 的 询问 做 实时 签名 应 答 (以 防止 敌人 利用 从 以 前 的 密 钥 交换 中 得 到 的 证 书 欺 骗 )。 其 
中 一 个 应 答 必 须 用 Alice 电话 的 私人 密 钥 签名 ， 男 一 个 必须 用 Alice 的 私人 密 钥 签名 。 

(9) 除非 Bob 已 经 在 打 电 话 ， 否 则 电话 振 铃 。 

(10) 如 果 Bob 在 家 ， 他 将 其 点 火 密 钥 插 入 电话 中 ， 他 的 电话 如 第 〈2)、(3) 步 那 样 质 
询 点 火 密 钥 和 检查 Bob 的 证 书 。 

(11) Bob 传送 其 证 书 和 用 户 鉴 别 。 

(12) Alice 的 电话 像 第 〈7) 步 一 样 鉴别 Bob WEZ, HRE G) 步 一 样 初始 化 一 个 
询问 应 答 序列 。 

(13) 两 部 电话 分 别 在 显示 屏 上 显示 出 对 方 用 户 和 电话 的 身份 。 

(14) 保密 通话 开始 。 

(15) 当 一 方 挂机 后 ， 会 话 密 钥 就 被 删除 ， 同 时 Bob 从 Alice 那里 收 到 的 证 书 与 Alice 从 
Bob 那里 收 到 的 证 书 也 被 删除 。 

对 于 每 次 呼叫 ，DES 密 钥 都 是 唯一 的 。 它 只 在 通话 期 间 存 在 于 两 部 电话 的 内 部 ， 通 话 
结束 立即 销毁 。 即 使 敌人 截获 了 通话 中 的 一 个 电话 ， 或 者 两 个 电话 ， 也 无 法 破解 这 两 部 电话 
以 前 的 任何 通话 内 容 。 


24.4 STU-III 
保密 电话 单元 (Secure Telephone Unit, STU) 是 由 NSA 设计 的 保密 电话 。 该 保密 电 
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话 与 普通 电话 的 大 小 和 形状 一 样 ， 使 用 方法 也 相同 。 该 电话 也 是 防 自 改 的 ， 如 果 没 有 密 钥 ， 
它 也 不 安全 。 它 有 一 个 数据 端口 ， 可 用 于 调制 解 调 器 及 声音 信号 的 保密 通信 ""*。 
Whitfield Diffie 在 文献 [494] PHM STU-I: 


用 STU- 亚 通话 时 ， 呼 叫 方 首先 向 另 一 个 STU- 亚 发 出 一 个 普通 电话 呼叫 ， 接 
着 插入 一 个 钥匙 形状 的 含有 密码 变量 的 设备 ， 并 且 按 下 “加 密 ” 按 钮 。 经 过 大 约 
15 秒 的 时 间 等 待 密码 建立 ， 电 话 显示 双方 的 身份 和 许可 ， 接 下 来 就 可 以 进行 通话 。 

在 一 个 史无前例 的 提议 中 ，NSA 通信 安全 主管 Walter Deeley 在 接受 《纽约 时 
报 》 独 家 访问 时 ， 宣 布 了 STU- 轩 或 者 未 来 的 保密 通话 系统 25。 

新 系统 主要 为 国防 部 以 及 与 国防 部 相连 的 单位 提供 安全 的 语音 和 低速 数据 通 
信 。 这 次 访问 没有 公开 系统 的 工作 原理 ， 但 是 渐渐 地 有 一 些 信 息 泄露 出 来 。 新 系统 
采用 了 公开 密 钥 。 新 的 密 钥 管理 方法 早 些 时 候 已 经 在 文献 [68] 中 提出 ， 并 且 明 确 
提出 保密 电话 “每 年 利用 保密 电话 链 路 重新 编程 一 次 ”， 强 烈 瞳 示 了 一 种 能 够 最 大 
程度 降低 保密 电话 与 密 铀 管理 中 心 通话 需要 的 证 书 交 换 协 议 。 最 近 一 些 报 告 更 多 地 
提 给 一 个 称 为 FIRE-FLY035 的 密 钥 管理 系统 ， 它 “由 公开 密 钥 技术 发 展 而 来 ， 用 
于 建立 一 对 通信 加 密 密 钥 ”。Cylink 的 Lee Neuwirth 已 将 建议 的 描述 和 陈述 递交 给 
美国 国会 ， 他 建议 将 密 钥 交换 与 证 书 结合 起 来 ， 它 类 似 于 在 ISDN 保密 电话 中 使 用 
的 协议 。FIREFLY 也 是 基于 求 壤 ， 这 一 点 似乎 是 可 行 的 。 


STU- h AT&T 和 GE 公司 制造 ，1994 年 已 经 生产 了 30 一 40 万 台 。 一 种 新 版 本 ， 安 
全 终端 设备 (Secure Terminal Equipment, STE) 可 以 使 用 在 ISDN 线路 上 。 


24.5 Kerberos 


Kerberos 是 为 TCP/IP 网 络 设计 的 可 信 第 三 方 鉴别 协议 。 网 络 上 的 Kerberos 服务 起 着 
可 信 仲 裁 者 的 作用 。Kerberos 可 提供 安全 的 网 络 鉴别 ， 人 允许 个 人 访问 网 络 中 不 同 的 机 器 。 
Kerberos 基于 对 称 密码 学 (采用 的 是 DES, 但 也 可 用 其 他 算法 替代 )。 它 与 网 络 上 的 每 个 实 
体 分 别 共享 一 个 不 同 的 秘密 密 钥 ， 知 道 该 秘密 密 钥 就 是 身份 的 证 明 。 

Kerberos 最 初 是 在 麻 省 理工 学 院 (MIT) 为 Athena 项 目 而 开发 的 ，Kerberos 模型 基于 
Needham-Schroeder 的 可 信 第 三 方 协议 (参见 3. 3 4), Kerberos 的 最 初版 本 ， 第 4 版 
见 (1094, 1499], (第 1 一 3 版 为 内 部 开发 版 本 )， 第 5 版 是 第 4 版 的 改进 版 ， 内 容 详 见 
[876、877、878]j。 最 好 的 介绍 Kerberos 的 文献 是 [1163]， 其 他 的 一 些 评论 文章 见 [1384、 
1493]， 介 绍 Kerberos 实际 应 用 的 两 篇 佳作 是 文献 (781. 782]. 


24. 5. 1 Kerberos 模型 


基本 的 Kerberos 协议 已 在 3. 3 节 做 过 介绍 。 在 Kerberos 模型 中 ， 具 有 安装 在 网 络 上 的 
实体 : 客户 机 和 服务 器 。 客 户 机 可 以 是 用 户 ， 也 可 以 是 处 理事 务 所 需要 的 独立 软件 程序 : 下 
载 文 件 、 发 送 消息 、 访 问 数据 库 、 访 问 打 印 机 、 获 取 管 理 特权 等 。 

Kerberos 有 一 个 所 有 客户 和 秘密 密 钥 的 数据 库 。 对 于 个 人 用 户 来 说 ， 秘 密 密 钥 是 一 个 
加 密 的 口令 ， 需要 鉴别 的 网 络 业务 和 希望 运用 这 些 业 务 的 客户 机 需要 用 Kerberos 注册 其 秘 
密 密 钥 。 

由 于 Kerberos 知道 每 个 人 的 秘密 密 钥 ， 所 以 而 它 能 产生 一 个 实体 证 实 另 一 个 实体 身份 
的 消息 。Kerberos 还 能 产生 会 话 密 钥 ， 只 供 一 个 客户 机 和 一 个 服务 器 (或 两 个 客户 机 ) 使 
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用 。 会 话 密 钥 用 来 加 密 双 方 间 的 通信 消息 ， 通 信 完 毕 ， 即 销毁 会 话 密 钥 。 
Kerberos 使 用 DES 加 密 。Kerberos 第 4 版 提供 一 个 不 标准 的 鉴别 模型 。 该 模型 的 弱点 
是 : 它 不 能 检测 密 文 的 某 些 改变 (BM 9.104). Kerberos 第 5 版 使 用 CBC 模式 。 


24.5.2 Kerberos 工作 原理 


下 面 讨论 Kerberos 第 5 版 ， 它 与 第 4 版 的 区 别 稍 后 再 介绍 Kerberos 协议 很 简明 〈 见 
图 24-1) ， 客 户 从 Kerberos 请 求 一 张 票据 作为 票据 许可 服务 (Ticket-Granting Service, 
TGS) ， 该 票据 用 用 户 的 秘密 密 钥 加 密 后 发 送 给 用 户 。 为 了 使 用 特定 的 服务 器 ， 客 户 需要 从 
TGS 中 请 求 一 张 票据 。 假 定 所 有 事情 均 按 序 进 行 ，TGS 将 票据 发 回 给 客户 ， 客 户 将 此 票据 
提交 给 服务 器 和 鉴别 器 。 如 果 客 户 的 身份 没有 问题 ， 服 务 器 就 会 让 客户 访问 该 服务 。 










1. 请 求 票据 许可 票据 
2. 票 据 许 可 票据 
Kerberos 3. 请 求 服务 器 票据 
4. 服 务 器 票据 
5. 请 求 服务 


服务 器 





24-1 Kerberos 鉴别 协议 步骤 


24.5.3 凭证 


Kerberos 使 用 两 类 凭证 : 票据 (ticket) 和 鉴别 码 (authenticator) (本 节 后 面 使 用 Ker- 
beros 中 的 缩写 ， 见 表 24-1) 。 票 据 用 于 秘密 地 向 服务 器 发 送 持 有 票据 用 户 的 身份 识别 ， 票 
据 中 还 包括 有 一 些 信 息 ， 服 务 器 能 够 用 这 些 信息 来 确认 使 表 24-1 Kerberos 的 缩写 
用 票据 的 客户 与 发 给 票据 的 客户 是 同一 个 客户 。 鉴 别 码 是 客户 (机 ) 
另外 一 个 凭证 ， 与 票据 一 起 发 送 。 sel 


客户 的 网 络 地 址 
Kerberos 票 IF: 
erberos SM IEAA P 票据 的 有 效 起 止 时 间 
Ts=s, {cs as vs Kas) K, 


t 时 间 标 记 
对 单个 的 服务 器 和 客户 而 言 ， 票 据 很 有 用 。 它 包括 客 k ema 
K 


户 名 、 服 务 器 名 、 网 络 地 址 、 时 间 标 记 和 会 话 密 钥 。 这 些 ny ty 的 会 话 密 钥 
信息 用 服务 器 的 秘密 密 钥 加密 。 客 户 一 旦 获得 该 票据 ， 她 (mK 以 zx 的 秘密 密 钥 加 密 的 m 
便 可 以 多 次 使 用 它 来 访问 服务 器 ， 直 到 票据 过 期 。 客 户 无 Tas ”使 用 y 的 z 的 票据 
法 解密 票据 (她 不 知道 服务 器 的 秘密 密 钥 )， 但 她 可 以 以 ”一 4” 从 + 到 > 的 鉴别 中 
其 加 密 的 形式 呈 递 给 服务 器 。 票 据 在 网 络 上 传送 时 ,任何 在 网 上 窃听 的 人 都 无 法 阅读 或 修 
改 它 。 

Kerberos 鉴别 码 的 格式 如 下 : 

A. = {c, t, key} K 

客户 在 每 次 需要 使 用 服务 器 上 的 服务 时 ， 都 要 产生 一 个 鉴别 码 。 该 鉴别 码 包 括 用 户 名 、 时 间 
标记 和 一 个 可 选 的 附加 会 话 密 钥 ， 它 们 用 服务 器 与 客户 共享 的 会 话 密 钥 加 密 。 与 票据 不 同 的 
是 ， 鉴 别 码 只 能 使 用 一 次 。 然 而 ， 由 于 客户 可 以 根据 需要 产生 鉴别 码 〈 它 知道 共享 的 秘密 密 
钥 )， 所 以 这 是 没有 问题 的 。 

鉴别 码 可 达到 两 个 目的 : 首先 ， 它 包括 一 些 以 会 话 密 钥 加 密 的 明文 ， 这 表明 鉴别 码 的 发 
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送 者 也 知道 密 钥 。 更 重要 的 是 ， 加 封 的 明文 包括 时 间 标 记 ， 即 使 记录 票据 和 鉴别 码 的 窃听 者 
在 两 天 后 也 无 法 重 放 它 们 。 


24.5.4 Kerberos 第 5 版 消息 


Kerberos 第 5 版 有 5 个 消息 〈 见 图 24-1): 

(1) 客户 到 Kerberos: c, tgs. 

(2) Kerberos 到 客户 : {Kags} Kes (Torg) Kiso 
(3) 客户 到 TGS: {An} Kars {Toms) Kio 
(4) TGS 到 客户 : (Kaz) Kess (Tas) Kso 

(5) 客户 到 服务 器 : {An} Kass {Tas} Kyo 

下 面 将 详细 讨论 它们 。 


24.5.5 最初 票据 的 获取 


客户 拥有 一 个 能 证 明 其 身份 的 信息 : 口令 。 显 然 我 们 并 不 希望 客户 在 网 络 上 传送 其 口 
令 。Kerberos 协议 将 口令 泄露 的 风险 降 至 最 低 ， 同 时 不 允许 客户 在 不 知道 口令 的 情况 下 鉴 
别 自己 的 身份 。 

客户 给 Kerberos 鉴别 服务 器 发 送 一 个 消息 ， 该 消息 包括 客户 名 及 其 TGS 服务 器 名 
(TGS 服务 器 可 以 有 多 个 ) 。 在 实际 中 ， 客 户 一 般 只 是 将 其 名 字 输 入 系统 ， 注 册 程 序 发 送 该 
请 求 。 

Kerberos 鉴别 服务 器 在 其 数据 库 中 查找 客户 。 如 果 客 户 在 数据 库 中 ，Kerberos 便 产 生 
一 个 在 客户 和 TGS 之 间 使 用 的 会 话 密 钥 ， 这 叫做 票据 许可 票据 (Ticket Granting Ticket, 
TGT). Kerberos 利用 客户 的 秘密 密 钥 加 密会 话 密 钥 。 然 后 为 客户 产生 一 个 TGT 向 TGS 证 
实 她 的 身份 ， 并 用 TGS 的 秘密 密 钥 对 其 加 密 。 鉴 别 服务 器 将 这 两 种 加 密 的 消息 发 送 给 客户 。 

客户 解密 第 一 个 消息 ， 并 恢复 会 话 密 钥 。 秘 密 密 钥 是 客户 口令 的 单 向 散 列 函数 ， 因 此 合 
法 客户 可 以 很 方便 地 实施 解密 。 如 果 客 户 是 一 个 冒名 顶替 的 骗子 ， 他 由 于 不 知道 正确 的 口 
令 ， 所 以 无 法 解密 Kerberos 鉴别 服务 器 发 来 的 响应 消息 。 系 统 将 拒绝 其 访问 ， 他 便 无 法 获 
得 票据 或 会 话 密 钥 。 

客户 将 TGT 和 会 话 密 钥 保存 ， 并 销 般 口 令 和 单 向 散 列 函数 ， 以 减 小 泄密 的 机 会 。 如 果 
敌人 能 够 复制 客户 的 存储 器 ， 他 仅仅 得 到 TCT 和 会 话 密 钥 ， 这 些 有 价值 的 信息 只 有 在 TGT 
的 有 效 期 内 才 有 用 。 一 旦 TGT 过 期 ， 这 些 信息 便 一 文 不 值 。 

客户 现在 可 在 TGT 的 有 效 期 内 向 TGS 证 实 她 的 身份 。 


24. 5.6 服务 器 票据 的 获取 


客户 必须 为 她 想 使 用 的 每 一 项 业务 获得 不 同 的 票据 。TGS 给 每 个 服务 器 分 配 票据 。 

当 客 户 需 要 一 个 她 从 未 拥有 的 票据 时 ， 她 向 TGS 发 送 一 个 请 求 。( 实 际 上 ， 程 序 将 自动 
完成 此 项 工作 ， 而 且 它 对 客户 来 说 是 隐蔽 的 。) 

TGS 接收 到 请 求 后 ， 用 自己 的 秘密 密 钥 解密 此 TGT， 然 后 再 用 TGT 中 的 会 话 密 钥 解 
密 鉴 别 码 。 最 后 ，TGS 比较 鉴别 码 中 的 信息 与 票据 中 的 信息 、 客 户 的 网 络 地 址 与 发 送 的 请 
求 地 址 ， 以 及 时 间 标 记 与 当前 时 间 。 如 果 每 一 项 都 匹配 ， 便 允许 处 理 该 请 求 。 

检查 时 间 标 记 假 设 所 有 的 机 器 都 有 同步 时 钟 ， 至 少 在 几 分 钟 内 是 同步 。 如 果 请 求 中 的 时 
间 与 未 来 或 过 去 都 相差 太 远 ， 那 么 TGS 把 该 请 求 当 做 以 前 请 求 的 重 放 。 因 为 过 去 请 求 的 时 
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间 标 记 可 能 仍然 有 效 ， 所 以 TGS 也 应 保留 所 有 有 效 的 鉴别 码 记录 。 与 已 收 到 的 请 求 具有 相 
同 票据 和 时 间 标 记 的 请 求 则 被 忽略 。 

TGS 通过 将 客户 有 效 的 票据 返回 给 服务 器 的 方式 来 响应 一 个 有 效 请 求 。TGS 还 为 客户 
和 服务 器 产生 一 个 新 的 会 话 密 钥 ， 此 密 钥 由 客户 和 TGS 共享 的 会 话 密 钥 加 密 。 然 后 将 这 两 
种 消息 返回 给 客户 。 客 户 解密 消息 ， 同 时 得 到 会 话 密 钥 。 


24.5.7 ”服务 请 求 


现在 客户 向 服务 器 鉴别 自己 的 身份 。 她 产生 一 个 与 传送 给 TGS 非常 类 似 的 消息 〈 因 为 
从 本 质 上 来 说 ，TGS 是 一 个 服务 器 ) 。 

客户 产生 一 个 鉴别 码 ， 鉴 别 码 由 客户 名 、 客 户 网 络 地址 和 时 间 标 记 组 成 ， 用 TGS 为 客 
户 和 服务 器 产生 的 会 话 密 钥 加 密 得 到 。 请 求 由 从 Kerberos 接收 到 的 票据 (已 用 服务 器 的 秘 
密 密 钥 加 密 ) 和 加 密 的 鉴别 码 组 成 。 

如 前 面 讨论 的 那样 ， 服 务 器 解密 并 检查 票据 和 鉴别 码 ， 以 及 客户 地 址 和 时 间 标 记 。 当 一 
切 检查 无 误 后 ， 根 据 Kerberos， 服 务 器 可 知 该 客户 是 不 是 她 所 宣称 的 那个 人 。 

在 需要 相互 鉴别 的 应 用 中 ， 服 务 器 给 客户 返回 一 个 包含 时 间 标 记 的 消息 ， 该 消息 由 会 话 
密 钥 加 密 。 这 证 明 服 务 器 知道 客户 的 秘密 密 钥 而 且 能 解密 票据 和 鉴别 码 。 

客户 和 服务 器 可 以 用 共享 的 密 钥 加 密 信息 。 由 于 只 有 他 们 共享 这 个 密 钥 ， 所 以 他 们 都 能 
猜测 出 最 近 收 到 的 用 该 密 钥 加 密 的 消息 来 自 另 一 方 。 


24.5.8 Kerberos 第 4 版 


前 一 节 讨论 了 Kerberos 第 5 版 ，Kerberos 第 4 版 在 消息 、 票 据 和 鉴别 码 的 结构 上 略 有 
区 别 。 
在 第 4 版 中 ，5 种 消息 格式 如 下 : 
(1) 客户 到 Kerberos: c, tgs. 
(2) Kerberos 到 客户 : {Kws, (Tars? Kegs} Kee 
(3) 客户 到 TCS; {An} Kess (Tne! Kee 
(4) TGS BAP: (Kees (Tes) Keb Kes 
(5) 客户 到 服务 器 : (A,}K,,,, {Tab Kso 
Tas =" SoG to gs) Ke 
A,, = csat} Kas 
消息 d), G) GO) 在 两 个 版 本 中 都 是 相同 的 。 第 5 版 删除 了 消息 (2). (4) 中 的 票 
据 双重 加 密 。 第 5 版 的 票据 增加 了 多 重地 址 的 功能 并 且 用 开始 和 结束 的 时 间 代 替 有 效 时 间 ， 
此 外 鉴别 码 增加 了 包括 一 个 附加 密 钥 的 选项 。 


24. 5.9 Kerberos 的 安全 性 


Steve Bellovin 和 Michael Merri 讨论 了 Kerberos 中 几 个 潜在 的 安全 弱点 Lu 中 。 尽 管 该 文 
写 的 是 第 4 版 协议 ， 但 许多 评价 也 适用 于 第 5 版 。 

旧 的 鉴别 码 很 有 可 能 被 存储 和 重用 。 尽 管 时 间 标 记 可 用 于 防止 这 种 攻击 ， 但 在 票据 的 有 
效 时 间 内 仍 可 发 生 重 用 。 假 设 服 务 器 存储 所 有 的 有 效 票 据 以 阻止 重 放 ， 但 实际 上 这 很 难 做 
到 。 票 据 的 有 效 期 可 能 很 长 ， 典 型 的 为 8 小 时 。 

鉴别 码 基 于 这 样 一 个 事实 ， 即 网 络 中 的 所 有 时 钟 基本 上 是 同步 的 。 如 果 能 够 欺骗 主机 ， 
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使 它 的 正确 时 间 发 生 错误 ， 那么 旧 鉴 别 码 毫 无 疑问 能 被 重 放 。 大 多 数 的 网 络 时 间 协 议 是 不 安 
全 的 ， 因 此 这 可 能 导致 严重 的 问题 。 

Kerberos 对 猜测 口令 攻击 也 很 脆弱 。 攻 击 者 可 以 收集 票据 并 试图 破译 它们 。 一 般 的 客 
户 通常 很 难 选择 到 最 佳 口 令 。 如 果 Mallory 收集 了 足够 多 的 票据 ， 他 就 有 很 大 的 机 会 找到 
We. 

最 严重 的 攻击 可 能 是 恶意 软件 。Kerberos 协议 依赖 于 Kerberos 软件 都 是 可 信 的 这 一 事 
实 。 没 什么 可 以 阻止 Mallory 用 完成 Kerberos 协议 和 记录 口令 的 软件 来 代替 所 有 客户 的 
Kerberos 软件 。 任 何 一 种 安装 在 不 安全 的 计算 机 中 的 密码 软件 都 会 面临 这 种 问题 ， 但 Ker- 
beros 在 这 种 不 安全 环境 中 的 广泛 使 用 ， 使 它 特别 容易 成 为 被 攻击 的 目标 。 

加 强 Kerberos 的 工作 包括 执行 公开 密 钥 算法 和 密 钥 管理 中 的 智能 卡 接 口 。 


24.5.10 许可 证 


Kerberos 是 非 公 开 的 ， 但 是 MIT 的 源 代码 是 公开 的 。 实 际 上 ， 在 UNIX 环境 中 实现 这 
些 代码 则 是 另 一 个 问题 。 有 多 家 公司 出 售 各 种 版 本 的 Kerberos， 有 兴趣 获得 自由 版 本 的 机 
构 可 与 下 述 地 址 联络 : 814 University Ave., Palo Alto，CA，94301， 电 话 : (415) 322- 
3811, 传真: (415)322-3270。 


24.6 KryptoKnight 


KryptoKnight 是 由 IBM 公司 设计 的 一 种 鉴别 和 密 钥 分 配 系 统 。 它 是 一 种 秘密 密 钥 协议 
并 使 用 了 DES 的 CBC 模式 (参见 9. 3 节 ) 或 MDS 的 增强 版 (参见 18. 5 节 )。 

KryptoKnight 支持 4 项 保密 业务 : 

。 用 户 鉴 别 〈 称 为 单个 签名 ) 。 

。 双方 鉴别 。 

。 密 钥 分 配 。 

。 数据 源 和 数据 内 容 的 鉴别 。 

从 用 户 角度 看 ，KryptoKnight 类 似 于 Kerberos。 它 们 的 区 别 在 于 : 

。 KryptoKnight 采用 单 向 散 列 函数 鉴别 和 加 密 票据 。 

。 KryptoKnight 不 依靠 同步 时 钟 ， 使 用 当前 时 间 (参见 3. 3 节 ) 。 

。 如 果 Alice 想 与 Bob 通信 ，KryptoKnight 有 选项 允许 Alice 传送 一 条 消息 给 Bob, 

接着 Bob 初始 化 密 钥 交换 协议 。 

与 Kerberos 一 样 ，KryptoKnight 具有 票据 和 鉴别 码 。KryptoKnight 也 有 TGS， 但 是 
它 通 过 鉴别 服务 器 调用 它们 。KryptoKnight 的 设计 者 花 了 大 量 心血 使 消息 的 数量 、 消 息 的 
长 度 和 加 密 的 数量 减 至 最 小 。 有 关 KryptoKnight 和 其 协议 的 详细 情况 见 [1110、173、 
174, 175]. 


24.7 SESAME 


SESAME 代表 欧洲 安全 多 环境 应 用 系统 (Secure European System for Application in 
Multivendor Environment) 。 这 是 一 个 欧洲 团体 安全 项 目 ， 其 50% 的 资金 由 RACE (参见 
25.7 节 ) 提供 。RACE 计划 主要 研究 分 布 式 访问 控制 的 用 户 鉴别 技术 。SESAME 被 认为 
是 一 种 欧洲 版 本 的 Kerberos。 它 由 两 部 分 构成 : 第 一 部 分 是 一 个 基础 体系 原型 ， 第 二 部 分 
是 一 套 商业 方案 。 研 究 开发 该 项 目的 3 个 最 大 的 公司 是 英国 的 ICL、 人 德国 的 西门 子 和 法 国 
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的 Bull。 

SESAME 是 一 个 鉴别 和 密 钥 交换 系统 ”5% 。 它 在 不 同 的 安全 领域 采用 Need- 
ham-Schroeder 协议 和 公开 密 钥 算法 通信 。 该 系统 在 某 些 方面 有 严重 的 缺陷 。 它 使 用 一 个 64 
位 密 钥 异 或 代替 了 实时 加 密 算法 。 更 糟 的 是 ， 在 CBC 模式 中 采用 了 异 或 ， 这 使 一 半 的 明文 
没有 被 加 密 。 在 防御 方面 ， 一 直 计 划 采 用 DES 算法 直到 法 国政 府 发 出 抱怨 。 它 用 DES 加 密 
代码 ， 接 着 将 代码 公开 ， 希望 人 们 解密 代码 并 将 它 返回 。 

SESAME 中 的 鉴别 功能 并 不 在 整个 消息 而 是 在 第 一 个 消息 分 组 ， 其 效果 是 仅 对 签名 的 
DearSir 有 效 ， 但 对 信件 正文 部 分 无 效 。 密 钥 由 两 次 调用 UNIX 随机 函数 产生 ,但 它们 并 不 
十 分 随机 。SESAME 采用 crc32 和 MDS 作为 单 向 散 列 函数 。 它 与 Kerberos 一 样 易 受 口令 猜 
测 攻击 。 


24.8 IBM 通用 密码 体系 


IBM 设计 和 研制 了 通用 密码 体系 (Cormmon Cryptographic Architecture，CCA)， 它 为 机 密 
性 、 完 整 性 、 密 钥 管 理 、 个 人 身份 号 (PIN) 处 理 提供 了 简单 密码 算法 [5 7841025 1026 .980.752) 。 密 
钥 通过 控制 向 量 (Control Vector,-CV) 进行 管理 (参见 8.5 节 )。 每 一 个 密 钥 都 与 一 个 控 
制 向 量 异 或 ， 除 非 在 安全 的 硬件 设备 中 ， 和 否则 密 钥 都 不 会 脱离 控制 向 量 而 单独 存在 。CV 是 
一 个 数据 结构 ， 提 供 对 与 特定 密 钥 相 关 特 权 的 直观 理解 。 

CV 的 单个 位 被 具体 定义 为 使 用 和 处 理 CCA 所 管理 的 每 个 密 钥 。CV 通过 在 数据 结构 中 
称 为 密 钥 令 牌 的 加 密 密 钥 传输 。 内 部 密 钥 令 牌 仅仅 在 本 地 使 用 ， 包含 用 本 地 的 主 密 钥 
(Master Key, MK) 加 密 的 密 钥 。 外 部 密 钥 令 牌 应 用 于 系统 之 间 出 口 和 进口 的 加 密 密 钥 。 
外 部 密 钥 令 牌 中 的 密 钥 使 用 密 钥 加 密 密 钥 KEK) 加 密 。KEK 通过 内 部 密 钥 令 牌 进行 管 
理 。 各 种 密 钥 按照 它们 的 使 用 范围 进行 隔离 。 

密 钥 长 度 同样 通过 CV 中 的 位 进行 详细 说 明和 控制 。 单 个 的 密 钥 长 度 为 56 位 ， 它 用 于 
诸如 加 密 和 消息 鉴别 的 功能 。 双 倍 的 密 钥 长 度 为 112 位 ， 它 用 于 密 钥 管理 、PIN 功能 和 其 他 
一 些 特殊 用 处 。 密 钥 可 以 要 求 为 只 是 双 倍 的 (DOUBLE-ONLY) ， 其 左右 两 部 分 必须 不 同 ; 
或 者 双 倍 的 DOUBLE)， 其 两 部 分 允许 相同 ;或 者 单个 重复 的 (SINGLE REOLICAT- 
ED) ， 其 左右 两 部 分 相同 ;或 者 单个 的 〈SINGLE)， 由 56 位 组 成 。CCA 功能 规定 对 某 些 操 
作 中 使 用 的 某 些 密 钥 类 型 采用 强制 的 硬件 形式 。 

CV 通过 保密 硬件 处 理 器 进行 检验 : 它 必 须 使 每 一 个 CCA 功能 与 允许 的 CCA 规则 一 
致 。 如 果 CV 成 功 地 通过 了 测试 要 求 ， 就 可 以 获得 一 个 CV 与 KEK 或 MK 异 或 后 的 KEK 
或 MK 的 变型 ， 且 明文 目标 密 钥 可 以 用 CCA 功能 恢复 供 内 部 使 用 。 当 新 的 密 钥 产生 后 ， 
CV 将 详细 说 明 产 生 的 密 钥 用 途 。 那 些 可 能 用 于 攻击 系统 密 钥 类 型 的 组 合 将 不 产生 或 导入 
CCA 系统 中 。 

CCA 采用 结合 公开 密 钥 算 法 和 秘密 密 钥 算 法 的 密 钥 分 配方 法 。 密 钥 分 配 中 心 用 与 用 户 
共享 的 主 密 钥 加 密会 话 密 钥 。 主 密 钥 用 公开 密 钥 算法 分 配 。 

系统 设计 者 采用 这 种 混合 方式 有 两 个 原因 。 其 一 是 性 能 ， 公 开 密 钥 算 法 的 计算 量 较 大 ， 
如 果 会 话 密 钥 用 公开 密 钥 算 法 分 配 ， 系 统 的 性 能 将 降低 。 其 二 是 向 后 的 兼容 性 ， 系 统 能 用 最 
少 的 中 断 覆 盖 已 经 存在 的 秘密 密 钥 表 。 

CCA 系统 被 设计 为 可 以 互 操作 的 系统 。 对 于 某 些 与 CCA 不 兼容 的 系统 ， 控 制 向 量 转变 
(CVXLT) 功能 允许 在 两 个 实现 间 传 递 密 钥 。CVXLT 功能 的 初始 化 要 求 双 重 控制 。 两 个 个 
体 必须 独立 建立 所 需 的 转化 表 。 这 种 双重 控制 在 系统 中 提供 了 高 度 可 靠 的 完整 性 和 密 钥 的 真 
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实 性 。 

系统 提供 了 数据 型 密 钥 与 其 他 系统 兼容 。 数 据 型 密 钥 与 CV 存储 在 一 起 ，CYV 把 它 标 识 
为 数据 型 密 钥 。 数 据 型 密 钥 可 以 广泛 使 用 ， 但 也 需 提 出 质疑 并 小 心 使 用 。 数 据 型 密 钥 不 可 以 
用 于 任何 密 钥 管理 功能 。 

商业 数据 掩盖 设备 “CDMF) 是 CCA 的 一 种 出 口 版 本 。 它 的 特点 是 : 为 了 出 口 ， 将 
DES 密 钥 简化 到 40 fiz (参见 15. 5 47"), 


24.9 ISO 鉴别 框架 
建议 将 公开 密 钥 密 码 学 与 ISO 鉴别 框架 一 起 使 用 ，ISO 鉴别 框架 也 称 为 X. 509 协 


I 。 此 框架 提供 了 网 间 鉴 别 功能 。 尽 管 没有 为 鉴别 或 安全 提 定 一 
个 特别 的 算法 ， 但 建议 使 用 RSA， 当 然 还 可 选择 多 种 算法 和 散 列 函 





数 。X. 509 最 初 于 1988 年 公布 。 在 公开 讨论 后 ， 于 1993 年 做 了 一 些 序列 号 
ia 人 Bs CU100760 算法 标识 
安全 问题 的 修正 法 
“参数 
24.9.1 证 书 nee 
X. 509 中 最 重要 的 部 分 是 公开 密 钥 证 书 结构 。 每 一 个 用 户 有 一 个 有 效 期 
各 不 相同 的 名 字 。 一 个 可 信 的 证 书 机 构 (CA) 给 每 个 用 户 分 配 一 个 * 起 始 日 其 
唯一 的 名 字 并 签发 一 个 包含 名 字 和 用 户 公开 密 钥 的 证 书 。 图 24-2 给 “结束 日 其 
出 了 一 个 X. 509 TEBE, 主体 








版 本 字段 用 于 识别 证 书 格式 。 序 列 号 在 CA 中 是 唯一 的 。 接 下 来 主体 的 公开 密 铀 
的 字段 标识 了 用 来 对 证 书签 名 的 算法 ， 以 及 算法 所 需 的 参数 。 发 布 者 ee 

为 CA 的 名 称 。 有 效 期 是 一 对 日 期 ， 证 书 在 这 段 日 期 内 有 效 。 主 体 为 . 公开 密 铀 
用 户 和 名。 主体 的 公开 密 钥 信息 包括 算法 名 称 、 需 要 的 参数 和 公开 密 ex 

钥 。 最 后 一 个 字段 为 CA 的 签名 。 

如 果 Alice 想 和 Bob 通信 ， 她 首先 必须 从 数据 库 中 取得 Bob 的 证 ” 图 242 X 509 证 书 
书 ， 然 后 对 它 进 行 验证 。 如 果 他 们 使 用 相同 的 CA， 事 情 就 很 简单 ，Alice 只 需 验 证 Bob 证 
书 上 的 CA 签名 ; 如果 他 们 使 用 不 同 的 CA， 问题 就 复杂 了 。 考 虑 一 种 由 不 同 的 CA 确认 其 
他 CA 和 用 户 的 树 形 结构 ， 顶 部 是 一 个 主 CA。 每 个 CA 存放 从 它 
上 一 级 CA 获取 的 证 书 和 由 上 级 CA 签发 的 所 有 证 书 。Alice 和 Bob 
必须 回溯 证 书 树 以 寻找 共同 信任 的 点 。 

图 24-3 AET ERE., Alice 的 证 书 由 CA, 签发 ，Bob 的 证 
书 由 CAs 签发 。Alice 知道 CA, 的 公开 密 钥 。CAc HAH CA, 签 
REB, Alice 可 以 验证 证 书 的 有 效 性 。CAc 的 证 书 由 CA 签 
发 ，CAB 的 证 书 也 由 CA BR, Alt CAs 是 一 个 双方 都 信任 的 
点 。Alice 可 以 通过 沿 着 证 书 树 找到 CA 来 验证 Bob 的 证 书 。 

证 书 可 以 存储 在 网 络 上 的 数据 库 中 。 用 户 可 以 利用 网 络 彼此 交 
换 证 书 。 当 证 书 撤销 后 ， 它 将 从 公共 目录 中 删除 。 然 而 签发 此 证 书 Aice 
的 CA 仍 保留 此 证 书 的 副本 ， 以 备 日 后 解决 可 能 引起 的 纠纷 。 eek ERIE 

如 果 用 户 的 密 钥 或 CA 的 密 钥 被 破坏 ， 或 者 CA 不 再 对 用 户 进 
行 验证 ， 都 可 能 导致 证 书 的 撤销 。 每 一 个 CA 必须 保留 一 个 已 经 撤销 但 还 没有 过 期 的 证 书 列 
表 。 当 Alice 收 到 一 个 新 证 书 时 ， 首 先 应 该 检查 证 书 是 否 已 经 撤销 。 她 能 在 网 络 上 检查 失效 
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密 钥 数据 库 ， 但 更 可 能 是 检查 本 地 失效 证 书 列表 。 该 系统 可 能 被 滥用 ， 密 钥 撤销 可 能 是 它 最 
薄弱 的 环节 。 


24.9.2 鉴别 协议 


Alice 想 与 Bob 通信 时 ， 她 首先 查找 数据 库 并 得 到 一 个 从 Alice 到 Bob 的 证 书 路 径 (cer- 
tification path) 和 Bob 的 公开 密 钥 。 这 时 Alice 可 使 用 单 向 、 双 向 或 三 向 鉴别 协议 。 

单 向 协议 是 从 Alice 到 Bob 的 单 向 通信 。 它 建立 Alice 和 Bob 双方 身份 的 证 明 以 及 从 
Alice 到 Bob 的 任何 通信 信息 的 完整 性 。 它 还 可 防止 通信 过 程 中 的 任何 重 放 攻击 。 

双向 协议 与 单 向 协议 类 似 ， 但 它 增加 了 来 自 Bob 的 应 答 。 它 保证 是 Bob 而 不 是 冒名 者 
发 送 来 的 应 答 。 它 还 保证 双方 通信 的 机 密 性 并 可 防止 重 放 攻击 。 

单 向 和 双向 协议 都 使 用 了 时 间 标 记 。 三 向 协议 增加 了 从 Alice 到 Bob 的 另外 消息 ， 并 避 
免 使 用 时 间 标 记 (用 鉴别 时 间 取 代 )。 

单 向 协议 如 下 : 

(1) Alice 产生 一 个 随机 数 Ra. 

(2) Alice WH##—AWA, M=(T,a, Ras In, d), HT, 是 Alice 的 时 间 标 记 ，Is 
是 Bob 的 身份 证 明 ，d 为 任意 的 一 条 数据 信息 。 为 了 安 人 全， 数据 可 用 Bob 的 公开 密 钥 
Es 加 密 。 

(3) Alice 将 (Ca, Da(M)) 发 送 给 Bob。 (C, 为 Alice WHET, Da 为 Alice 的 私人 
A.) 

(4) Bob 确认 Ca FHI E,. HHUA He A AH CE, 为 Alice 的 公开 密 钥 ) 。 

(5) Bob 用 E, 解密 Da (M), 这样 既 证 明了 Alice 的 签名 又 证 明了 所 签发 信息 的 完 
整 性 。 

(6) 为 了 准确 ，Bob 检查 M 中 的 Ts。 

(7) Bob 检查 M PH Ta 以 证 实 消息 是 刚 发 来 的 。 

(8) 作为 一 个 可 选项 ，Bob 对 照旧 随机 数 数据 库 检查 M 中 的 Ra 以 确保 消息 不 是 旧 消 息 
重 放 。 

双向 协议 包括 一 个 单 向 协议 和 一 个 从 Bob 到 Alice 的 类 似 的 单 向 协议 。 除 了 完成 单 向 协 
议 的 第 〈1) ~ (8) 步 外 ， 双 向 协议 还 包括: 

(9) Bob 产生 另 一 个 随机 数 Ra。 

(10) Bob 构造 一 条 消息 M'=(Ts, Rs, Ia, Ra, d), HP Ts 是 Bob 的 时 间 标 记 ，I4 
是 Alice 的 身份 ，d 为 任意 的 数据 。 为 了 确保 安全 ， 可 用 Alice HAA AM Be. Ra 
是 Alice 在 第 〈1) 步 中 产生 的 随机 数 。 

(11) Bob 将 Ds(M') 发 送 给 Alice。 

(12) Alice 用 Es 解密 Ds(M')， 以 确认 Bob 的 签名 和 消息 的 完整 性 。 

(13) HS MEW, Alice 检查 M' 中 的 I, 

(14) Alice 检查 M 中 的 Ts， 并 证 实 消息 是 刚 发 送 来 的 。 

(15) 作为 可 选项 ，Alice 可 检查 M 中 的 Rs 以 确保 消息 不 是 重 放 的 旧 消 息 。 

三 向 协议 完成 双向 协议 的 工作 ,但 没有 时 间 标 记 。 当 Ts 二 Ts 二 0 时， 从 第 (1) 一 
(15) 步 与 双向 协议 相同 。 

(16) Alice 对 照 第 (3) 步 中 他 发 送 给 Bob 的 Ra 检查 接收 到 的 RR。 

(17) Alice 将 Da (Rs) 发 送 给 Bob。 
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(18) Bob 用 Es 解密 DACRs)， 这 样 可 证 明 Alice 的 签名 和 消息 的 完整 性 。 
(19) Bob 对 照 他 在 第 (10) 步 中 发 送 给 Alice 的 Rs 检查 他 接收 到 的 Rs。 


24. 10 ”保密 性 增强 邮件 


保密 性 增强 邮件 (Privacy-Enhanced Mail, PEM) 是 因特网 保密 性 增强 邮件 标准 。 由 因 
村 网 结构 委员 会 〈IAB) 采用 ， 在 因特网 上 提供 保密 电子 邮件 。 它 最 初 由 因特网 研究 特别 工 
作 队 CIRTF) 的 保密 和 安全 研究 组 (PSRG) 设计 ， 然 后 提交 给 因特网 工程 特别 工作 组 
(IETF) 的 PEM 研究 组 。PEM 协议 提供 了 加 密 、 鉴 别 、 消 息 完整 性 和 密 钥 管理 功能 。 

完整 的 PEM 协议 最 初出 现在 RFC 系列 文件 中 下 ， 其 修订 本 见 [978]。 在 文献 [177、 
178] 中 第 三 次 总 结 了 这 个 协议 1。 协议 经 不 断 修改 和 完善 ， 最 终 协议 详 述 在 另 一 系 
列 的 REC 文件 中 82576.802] | Matthew Bishop 在 文献 [179] 中 详细 介绍 了 这 些 变化 。 其 他 
试图 实现 PEM 的 论文 还 有 [602、1505、1522、74、351、1366、1367、1394]。 

PEM 是 一 个 内 容 丰 富 的 标准 。PEM 的 程序 和 协议 考虑 了 与 多 种 密 钥 管理 方式 的 兼 
容 ， 其 中 包括 用 于 加 密 数 据 加 密 密 钥 的 对 称 和 公开 密 钥 方案 。 对 称 密码 学 用 于 消息 文 
本 加 密 。 密 码 散 列 算法 用 于 消息 完整 性 。 另 一 些 文档 支持 利用 公开 密 钥 证 书 的 密 钥 管 
理 机 制 、 算 法 、 格 式 和 相关 标识 以 及 为 支持 这 些 业务 建立 的 密 钥 管理 基础 结构 的 电子 

PEM 仅 支持 少数 算法 ， 但 允许 在 后 来 使 用 不 同 的 算法 。 消 息 用 DES 的 CBC 方式 加 密 。 
由 消息 完整 性 检查 (Message Integrity Check, MIC) 提供 的 鉴别 使 用 了 MD2 或 MD5。 对 
称 密 钥 管理 可 使 用 ECB 方式 的 DES， 也 可 使 用 两 个 密 钥 的 三 重 DES KA EDE 方式 )。 
PEM 还 支持 用 于 密 钥 管理 的 公开 密 钥 证 书 ， 使 用 RSA 算法 〈 密 钥 长 度 为 1024 位 ) 和 
X. 509 标准 作为 证 书 结构 。 

PEM 提供 3 项 保密 性 增强 业务 : 保密 性 、 鉴 别 和 消息 完整 性 。 这 些 业 务 在 电子 邮件 系 
统 上 没有 增加 特殊 的 处 理 要 求 。PEM 可 在 不 影响 网 络 其 余部 分 的 情况 下 ， 由 站 点 或 用 户 有 
选择 性 地 加 入 。 


24.10.1 PEM 的 有 关 文 件 


PEM 文件 有 4 种 : 

。 RFC 1421: 第 1 部分， 消息 加 密 和 鉴别 过 程 。 为 因特网 中 的 电子 邮件 传输 提供 保密 
性 增强 邮件 业务 ， 此 文件 定义 了 消息 加 密 和 鉴别 过 程 。 

e RFC 1422: 第 2 部 分 ， 基 于 证 书 的 密 钥 管理 。 此 文件 定义 了 基于 公开 密 钥 证 书 技术 
的 密 钥 管 理 体 系 和 基础 结构 ， 为 消息 发 送 者 和 接收 者 提供 密 钥 信息 。 

。 RFC 1423: 第 3 部 分 ， 算 法 、 模 式 和 标识 。 此 文件 为 密码 算法 、 使 用 模式 、 相 关 的 
标识 和 参数 提供 了 定义 、 格 式 、 参 考 文献 和 引文 。 

e RFC 1424: 第 4 部 分 ， 密 钥 证 书 和 相关 业务 。 此 文件 介绍 了 支持 PEM 的 3 类 业务 : 
密 钥 证 书 、 证 书 撤销 列表 (CRL) 存储 和 CRL 恢复 。 


24.10.2 ”证书 


PEM 与 文献 L304] 中 介绍 的 鉴别 框架 相 兼 容 ， 也 可 见 文献 L826]。PEM 是 X. 509 
的 扩展 集 ， 它 为 将 来 与 其 他 协议 CRE TCO/IP 和 OSD 一 起 使 用 建立 了 密 钥 管理 基础 结 
构 的 过 程 和 规范 。 
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密 钥 管 理 基 础 结构 为 所 有 的 因特网 证 书 建立 了 一 个 根 : 因特网 政策 注册 机 构 COPRA). 
IPRA 为 所 有 与 其 有 关 的 证 书 建立 了 一 个 全 球 性 的 政策 。IPRA 根 的 下 一 级 是 政策 证 书 机 构 
(PCA)， 每 一 个 机 构 都 为 注册 的 用 户 或 机 构建 立 和 发 布 其 政策 。 每 个 PCA 由 IPRA 签证 。 
在 PCA 的 下 一 级 ，CA 对 用 户 和 下 属 机 构 ( 如 部 、 局 、 子 公司 等 ) 签证 。 最 初 ， 大 多 数 用 
户 都 希望 与 一 些 组 织 一 起 注册 。 

但 是 ， 也 有 一 些 用 户 希望 不 依赖 于 任何 机 构 而 独立 注册 ， 这 就 需要 有 另外 的 一 些 PCA 
为 其 提供 证 书 。 对 那些 希望 匿名 同时 又 想 利用 PEM 保密 设施 的 用 户 ， 可 以 建立 一 个 或 多 个 
PCA， 以 允许 不 想 泄 露 身 份 的 用 户 注 册 。 


24. 10.3 PEM 的 消息 


PEM 的 核心 是 其 消息 格式 。 图 24-4 显示 了 为 使 用 对 称 密 钥 管理 的 加 密 消息 ， 图 24-5 显 
示 了 为 使 用 公开 密 钥 管理 的 鉴别 和 加 密 消 息 ， 图 24-6 显示 了 为 使 用 公开 密 钥 密 钥 管 理 的 鉴 
别 消息 (但 没有 加 密 )。 


Proc-Type: 4,ENCRYPTED 
Content-Domain: RFC822 
DEK-Info: DES-CBC, F8143EDE5960C597 
Originator-ID-Symmetric: schneier@counterpane.com,, 
Recipient-ID-Symmetric: schneier@chinet.com, ptf-kmc,3 
Key-Info: 

DES-ECB, RSA-MD2, 9FD3AAD2F2691B9A, B70665BB9BF7CBCDA60195DB94F727D3 


Recipient-ID-Symmetric: pem-dev@tis.com,ptf-kmc,4 

Key-Info: 
DES-ECB, RSA-MD2,161A3F75DC82EF26 , E2EF532C65CBCFF79F83A2658132DB47 
LLrHBOeJzyhP+/fSStdW8okeEnv47jxe7SJ/iN72ohNcUk2 j HEUSOH1nvNSIWL9M 
8tEjmF/zxB+bATMt Pj CUWbz8Lr9wloXIkjHULBLpvxXROUrUzYbkNpk0agv21zUpk 
J6UiRRGcDSvzrsoK+oNvqu6z7Xs5Xf£z5rDqUcM1K1Z6720dcBWGGsDLpTpSCnpot 

dXd/HS5LMDWnonNvPCwQUHt == 





图 24-4 ”封装 消息 的 实例 (对 称 情况 ) 


第 一 个 字段 是 Proc-Type， 它 标识 所 处 理 消息 的 类 型 。 有 3 种 可 能 类 型 的 消息 。 
ENCRYPTED 指出 消息 是 已 加 密 和 鉴 名 的 。MIC-ONLY 和 MIC-CLERA 指出 消息 已 签名 
但 未 加 密 。 其 中 MIC-CLEAR 表明 消息 未 编码 ， 可 用 非 PEM 软件 阅读 。 而 MIC-ONLY 需 
要 用 PEM 软件 转换 成 可 读 的 形式 。PEM 消息 都 要 求 签名 ， 但 加 密 与 否 可 供 选择 。 

下 一 个 字段 Comtent-Domain， 它 说 明 邮 件 消息 的 类 型 。 它 与 安全 无 关 。DEK-Info 字段 
说 明了 与 数据 交换 密 钥 (Data Exchange Key, DEK) 相关 的 信息 ， 即 用 于 加 密 文本 的 加 密 
算法 以 及 与 加 密 算法 有 关 的 所 有 参数 。 目 前 只 使 用 了 一 种 模式 : DES 的 CBC 模式 (用 DES- 
CBC 表示 )。 第 二 个 子 字 段 规 定 了 初始 向 量 (IV)。 将 来 PEM 还 可 能 使 用 另外 一 些 算法 ， 它 
们 的 使 用 方法 将 在 DEK-Info 和 标识 算法 的 另 一 些 字 段 中 说 明 。 

对 那些 使 用 对 称 密 钥 管理 的 消息 LR 24-4) ， 下 一 个 字段 是 Originator-ID-Symmertic。 
ER 3 个 子 字段 。 第 一 个 子 字段 定义 了 唯一 的 电子 邮件 地 址 的 发 送 者 。 第 二 个 是 可 选项 ， 用 
于 标识 发 布 相互 交换 密 钥 的 机 构 。 第 3 个 字段 是 可 选 的 版 本 /有 效 期 。 

继续 讨论 对 称 密 钥 管理 情况 ， 下 一 个 字段 与 接收 者 有 关 。 每 个 接收 者 有 两 个 字段 : 
Recipi-ent-ID-Symmetric 和 Key-Info。 前 者 有 3 个 子 字段 ， 它 用 与 Originator-ID-Symmetric 
证 明 发 送 者 同样 的 方法 来 鉴定 接收 者 。 

Key-Info 字段 定义 了 密 钥 管 理 的 参数 。 此 字段 有 4 个子 字段 ， 第 一 个 子 字段 指出 了 用 于 
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加 密 DEK 的 算法 ， 因 为 消息 中 的 密 钥 管理 是 对 称 的 ， 所 以 发 送 者 和 接收 者 必须 共享 一 个 密 
钥 ， 即 相互 交换 密 钥 (Interchange Key，IK)， 用 于 加 密 DEK. DEK 可 用 DES 的 ECB 模式 
(用 DES-ECB 表示 ) 或 3 重 DES (用 DES-EIS 表示 ) 加 密 。 第 二 个 子 字段 指出 了 MIC 算 
法 。 它 可 以 是 MD2 (〈 记 为 RSA-MD2) 或 MD5 ( 记 为 RSA-MD5)。 第 三 个 子 字 段 是 用 IK 加 
密 的 DEK。 第 四 个 子 字 段 是 用 IK 加 密 的 MIC, 

图 24-5 和 图 24-6 显示 了 公开 密 钥 密 钥 管理 的 消息 (在 PEM 术语 中 也 称 为 非 对 称 ) 。 首 
字段 不 同 。 在 加 密 后 的 消息 中 ，DEK-Info 字段 后 是 Originator-Certificate 字段 。 证 书 遵 从 
X. 509 标准 (参见 24. 9 节 ) 。 下 一 字段 是 Key-Info， 它 有 两 个 子 字段 。 第 一 个 指出 了 用 于 加 
密 DEK 的 公开 密 钥 算 法 ， 目 前 只 使 用 了 RSA。 第 二 个 是 用 发 送 者 的 公开 密 钥 加 密 的 DEK, 
这 是 一 个 可 选项 ， 目 的 是 让 发 送 者 在 消息 通过 邮件 系统 返回 时 进行 解密 。 再 下 一 个 字段 
Issuer-Certificate 是 对 Originator-Certificate 签名 的 机 构 的 证 书 。 


Proc-Type: 4,ENCRYPTED 
Content-Domain: RFC822 
DEK-Info: DES-CBC,BFF968AA74691AC1 
Originator-Certificate: 
MIIB1LTCCAScCAWUWDQYJKoZ IhvcNAQECBQAWUTELMAkKGA1UEBhMCVVMxIDAeBgNV| 
BAOTF1JTOSBEYXRHIFN1Y3VyaxXR5LCBUbmMuMQ8 wDOYDVQQLEwZCZXRhIDExDzAN 
BgNVBASTBk5 PVEFSWTAeFw0 5MTASMDQxODM4MTdaFw0 5MzA5MDMxODM4MTZaMEUx 
CzAJBGNVBAYTA1 VTIMSAWHGYDVOQQKEXdSUOEGRGFOYSBTZWNicm10eSwgSW5jLJEU 
MBIGA1LUEAXMLVGVzdCBVc2Vy IDEwWTAKBgRVCAEBAgI CAANLADBIAkKEAWHZH17i+ 
yJdcqDtjJCowzTdBJrdAiLAnSC+CnnjOJELyuQiBgkGrgIh3j8/x0fM+YrsyF1u3F 
LZPVtz1lndhYFJQIDAQABMA0GCSqGS Ib3DQEBAQUAALkACKr0PqphdYw1j+YPtcIq 
iW1FPuN5jJ79Khfg7ASFxskYkEMjRNZV/HZDZQEht VaU7Ixfzs2wfX5byMp2X3U/ 
5XUXGx7qusDgHQGs7Jk9W8CW1 EuSWUgGN4w== 
Key-Info: RSA, 
I3rRIGXUGWAF8)j sSwCzRTkdhO34 PTHGRZY9Tuvm03M+NM7£x6qc5udixps2Lng0+ 
wGrtiUm/ovtKdinz6ZQ/aQ== 
Issuer-Certificate: 
MI IB3DCCAUgCAQowDQYJKoZIhvcNAQECBOQAwT zELMAkGA1UEBhMCVVMxIDAeBgNV| 
BAoTF1IJTQSBEYXRHIFNLY3VyaxR5LCBUbmMuMQO8wDOYDVQOLEWZCZXRHIDEXDTAL 
BGNVBASTBFRMQOEWHhCNOTEWOTAxXMDgwMDAWWhcNOTIWwOTAxMDc10TU5Wj BRMQsw 
COYDVQQGEWJVUZEGMB4GA1UEChMXU1LNBIERhdGEgU2Vj dXJpdHksIEluYy4xDzAN 
BgNVBAsTBkJ1dGEgMTEPMA0GA1UECxMGTk 9UQVU ZMHAWCgYEVQgBAQICArwDYgAw 
XwJYCsnp61QCxYykN1ODwut F/jMJ3kL+3P 3 YyHOwk+/9rLg6X65B/LD4bJHtO5XW 
cqAz/7R7Xhj YCm0PcqbdzoACZt ILETrKrcJiDYoP+DkZ8k1gCk7hQHpbIwIDAQAB: 
MAOGCSqGS1b3 DQEBAQUAA3 8AAICPv4f 9Gx/tY4+p+4DB7MV+tKZnvBoy8 zgoMGOx 
dD2jMZ/3HsyWKWgSF0eH/AJB3qr9zosG4 7pyMnTf 3aSy2nBO7CMxpUWRBCXUpE+x 
EREZd9++320fGBIXaialnOgVUn00zSYgugiQ07 7nJLDUj OhQehCizEs5wUJ35a5h| 
MIC-Info: RSA-MD5,RSA, 
UdFIR8u/TIGh£H65ieewe210W4t ooa3vZCvVNGBZirf /7nrgzWDABz8w9NsxSexv 
AjRFbHONPzBuxwmOAFeA0HJszL4yBvhG 
Recipient-ID-Asymmetric: 
MFExCzAJBGNVBAYTA1 VIMSAWHgGYDVOQQKEXdSUDEGRGFOYSBTZWNicm10eSwgSW5j 
Lj EPMAOGA1UECxXMGQmV0 YSAxXMQ8wDQYDVQQLEwZOT1RBULK=, 
66 
Key-Info: RSA, 
O6BS1ww9CTyHPtS3bMLD+LOhej dvx6Qv1HK2ds2sQPEaxhxX8 EhvVphHYTjwekdwWv 
7x0Z30x2vTAhOYHMcqqCjA== 
qeW1j /YI2UES5ng9yznPbtDOmYloSwIuV9FRYx+gzY+8ixXd/NQrxXHfi6é/MhP£PF3d 
j IqCJAxv1d2xgqQimUzoS1a4r7kQQ5c/Iua4LqKeq3ciFzEv/MbZhA== 
END PRIVACY-ENHANCED MESSAGE 





图 24-5 封装 消息 实例 〈 非 对 称 情 况 ) 


继续 非 对 称 密 钥 管理 的 情况 ， 下 一 个 字段 是 MEC-Info。 第 一 个 子 字段 指出 计算 MIC 的 
算法 。 第 二 个 指出 对 MIC 签名 的 算法 。 ee MIC, 
仍然 继续 讨论 非 对 称 密 钥 管理 ， 下 一 个 字段 是 关于 接收 者 的 。 每 个 接收 者 有 两 个 字段 : 
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Proc-Type: 4,MIC-ONLY 

Content-Domain: RFC822 

Originator-Certificate: 
MIIB1TCCAScCAWUWDQYJKoZIhvcNAQECBOQAWUTELMAkKGA1UEBhMCVVMxIDAeBaGNV| 
BAoTFIJTOSBEYXRHIFN1Y3VyaXR5LCBJbmMuMQ8wDOYDVOQQLEWZCZXRhHIDExDzAN 
BoNVBASTBk5 PVEFSWTAe Fw0 5MTASMDQxXODM4MTdaFw0 5MzA5MDMxODM4MTZaMEUx 
CZAJBGNVBAYTA1VTMSAwHg YDVQQKExdSUOEGRGFOYSBTZWN1cm10eSwgSW5j Lj EU 
MBIGA1LUEAXMLVGVzdCBVc2Vy IDEWWTAKBgRVCAEBAgICAANLADBIAKEAWHZH17i+ 
yJcqDt j JCowzTdBJrdAiLAnSC+CnnjOJELyuQiBgkGrgIh3j8/x0fM+YrsyF1u3F 
LZPVtzlndhYFJQIDAQABMA0GCSqGSIb3DQEBAQUAAI1kACKr0PqphJYw1j+YPtcIq 
iW1FPuN5jJ79Khfg7ASFxskYkEMj RNZV/HZDZQEht VaU7Ixf zs2wfX5byMp2X3U/ 

5XUXGx7qusDgHQGs 7Jk 9W8CW1 fuSWUgN4w== 

Issuer-Certificate: 
MI IB3DCCAUgCAQowDQYJKoZ I hvcNAQECBQAwT zELMAkGA1UEBhMCVVMxIDAeBgNV 
BAoTF1UJTQSBEYXRHIFN1Y3 VyaXR5LCBJbmMuMQ8wDOYDVOQLEWZCZXRhHIDEXDTAL 
BgNVBASTBFRMQOEwHhcNOTEwOTAXMDgwMDAwWhcNOT IwOTAxMDc10TU5Wj BRMQsw 
CQYDVQQGEwJ VUZEgGMB4GA1UEChMXULNBIERhdGEgU2Vj dXJpdHksIEluYy4xDzAN 
BGNVBASTBkJ 1dGEgGMTEPMA0GA1UECXMGTk 9UQVUJ ZMHAwCg YEVQgBAQI CArwDYgAw 
XwJYCsnp61QCxYykN1ODwut F/jMJ3kL+3Pj YyHOwk+/9rLg6X65B/LD4bJHtO5XW 
cqAz/7R7Xhj YCm0PcgbdzoACZt ILETrKrcJiDYoP+DkZ8k1gCk7hQHpbIwIDAQAB 
MAOGCSqGSIb3DQEBAQUAA3 8AAICPv4 f 9Gx/tY4+p+4DB7MV+t KZnvBoy8 zgoMGOx 
dD2jMZ/3HsyWKWgSF0eH/AJB3qr9zosG47pyMnTf 3aSy2nBO7CMxpUWRBCXUpE+x 
EREZd9++320fGBIXaialnOgVUn00zSYgugiQ077nJLDUjJ 0OhQehCizEsSwUJ35a5h 

MIC-Info: RSA-MD5,RSA, 
jV20£H+nnXHU8bnL8kPAad/mSQ1TDZ1bVuxvZAOVRZ5q5+Ej 15bQvqNeqOUNQjr6 

EtE7K2QDeVMCyXsdJ1A8fA== 

LSBBIG11c3NhZ2UgZm9y IHVzZSBpbiB0ZXNOaW5nLgOKLSBGb2xsb3 dpbmcgaxMg 

YSBibGFuayBsaw510g0KDQpUaG1zIG1zIHRoZSBilbmQuDQo0= 

END PRIVACY-ENHANCED MESSAGE 





图 24-6 封装 MIC-ONLY 消息 实例 〈 非 对 称 情况 ) 
Recipient-ID-Asymmetricfil Key-Info, Recipient-ID-Asymmetric 有 两 个 子 字段 。 第 一 个 指出 发 布 
接收 者 公开 密 钥 的 机 构 。 第 二 个 是 可 选 的 版 本 /有 效 期 子 字段 。Key-Info 指出 了 密 钥 管理 参数 。 
第 一 个 子 字段 指出 了 用 于 加 密 消 息 的 算法 。 第 二 个 是 用 接收 者 的 公开 密 钥 加 密 的 EEK。 


24. 10.4 PEM 的 安全 性 


PEM 中 RSA 密 钥 长 度 为 508 一 1024 位 ， 这 种 长 度 对 任何 人 的 安全 需求 来 说 都 是 足够 
的 。 最 可 能 的 攻击 是 破坏 密 钥 管理 协议 。Mallory 可 能 会 偷 走 你 的 私人 密 钥 〈 所 以 千 万 别 把 
它 随意 地 写 下 来 ) 或 试图 欺骗 你 接收 一 个 伪造 的 公开 密 钥 。 如 果 每 个 人 都 遵循 正确 的 程序 ， 
PEM 的 密 钥 证 书 规定 将 避免 上 述 情况 的 发 生 。 但 人 们 一 般 都 很 粗心 。 

一 个 更 隐蔽 的 攻击 是 Mallory 可 能 修改 系统 中 运行 的 PEM 的 执行 过 程 。 修 改过 的 
执行 过 程 可 使 你 的 邮件 用 Mallory 的 公开 密 钥 加 密 后 发 送 给 他 ， 它 其 至 将 你 的 私人 密 钥 
的 副本 发 送 给 他 。 如 果 修 改过 的 执行 过 程 运 行 得 很 好 ， 那 么 你 将 永远 不 知道 这 种 攻击 

还 没有 真正 有 效 的 方法 来 防止 这 种 攻击 。 你 可 以 用 单 向 散 列 函 数 和 给 PEM 代码 印 指 
纹 。 这 样 每 次 运行 时 ， 通 过 检查 指纹 来 判断 是 否 修改 。 但 Mallory 可 能 在 他 修改 PEM 代码 
的 同时 修改 指纹 代码 。 你 可 以 在 指纹 代码 上 再 做 指纹 , 但 Mallory 也 可 以 修改 它 。 如 果 
Mallory 能 进入 你 的 机 器 ， 他 完全 可 以 破坏 PEM 的 安全 。 

一 般 来 说 ， 如 果 你 不 能 信任 运行 软件 的 某 种 硬件 ， 你 也 不 能 真正 信任 运行 的 软件 。 对 于 
大 多 数 人 ， 这 种 偏见 是 不 必要 的 ,但 有 时 却 是 正确 的 。 


24. 10.5 TIS/PEM 
由 美国 政府 高 级 研究 计划 局 提供 部 分 资助 的 可 信 信 息 系 统 (Trusted Information Sys- 
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tem, TIS) 也 设计 并 实现 了 一 种 保密 性 增强 邮件 PEM 的 参考 模型 (TIS/PEM)， 此 模型 为 
基于 UNIX 的 操作 平台 而 开发 的 ， 但 同样 支持 VMS, DOS 和 Windows. 

尽管 PEM 说 明 书 介绍 了 因特网 采用 的 一 个 单一 证 书 层次 ， 但 TIS/PEM 可 支持 多 证 书 
层次 。 站 点 可 以 指出 一 系列 被 认为 是 有 效 的 证 书 ， 并 包括 所 有 由 他 们 签发 的 证 书 。 另 外 ， 为 
了 使 用 TIE/PEM， 不 需要 将 站 点 加 入 因特网 中 。 

目前 TIS/PEM 已 被 广泛 提供 给 美国 和 加 拿 大 的 许多 机 构 和 公民 。 它 将 以 源 代码 形式 分 
发 。 有 兴趣 的 组 织 可 与 下 述 地 址 联络 : Privacy-Enhanced Mail, Trusted lnfonmation Sys- 
tems, Inc. , 3060 Washington Road(Rte. 97), Glenwood, MD 21738; 电话 : (301) 854- 
6889; 传真 ; (301) 8545363; E-mail; pem-Info@tis. com 


24.10.6 RIPEM 


RIPEM 是 Mark Riordan 编写 的 实现 PEM 协议 的 程序 。 尽 管 技术 是 不 公开 的 ， 但 此 程 
序 可 公开 得 到 ， 并 可 由 个 人 和 非 商业 组 织 免费 使 用 。 使 用 许可 证 包括 在 文件 中 。 

但 它 的 代码 是 不 能 出 口 的 。 当 然 ， 美 国政 府 的 法 律 在 美国 之 外 并 不 适用 ， 因 此 人 们 往往 
忽视 出 口 条 例 。RIPEM 代码 已 在 美国 之 外 发 现 ， 它 已 在 世界 范围 内 使 用 。 仅 用 于 数字 签名 
的 RIPEM/SIG 可 以 出 口 。 

到 本 书写 作 时 ，RIPEM 还 没有 完全 实现 PEM 协议 ， 也 没有 实现 对 鉴别 密 钥 的 证 书 。 

编写 RIPEM 之 前 ，Riordan 曾 编写 过 一 个 类 似 的 称 为 RPEM 的 程序 。 它 试图 成 为 一 个 
公开 的 电子 邮件 加 密 程序 。 为 了 避免 出 现 专利 问题 ，Riordan 使 用 了 Rabin 的 算法 (参见 
19.5 节 )。 公 开 密 钥 合 作 商 宣称 他 们 的 专利 范围 足以 包括 公开 密 钥 加 密 的 所 有 领域 并 威胁 要 
提出 上 诉 ，Riordan 只 好 停止 传播 该 程序 。 

RPEM 确实 不 能 再 用 了 ， 因 为 它 与 RIPEM 不 兼容 。 既 然 RIPEM 在 公开 密 钥 合作 商 的 
同意 下 使 用 ， 自 然 没 有 理由 再 使 用 RPEM。 


24. 11 消息 安全 协议 

消息 安全 协议 (Message Security Protocol, MSP) 是 军用 的 PEM 等 效 协议 ， 它 是 在 
20 世纪 80 年 代 后 期 在 安全 数据 网 络 系 统 (SDNS) 项 目下 由 NSA 开发 的 。MSP 是 一 个 用 
于 保密 电子 邮件 与 X. 400 兼容 的 应 用 层 协 议 。 它 将 用 于 国防 部 计划 的 国防 消息 系统 (DMS) 
网 络 中 ， 用 于 对 消息 签名 和 加 密 。 

初级 消息 保密 协议 PMSP) 用 于 “公开 但 敏感 ”的 消息 ， 它 是 一 种 与 X. 400 和 TCP/ 
IP 一 起 使 用 的 MSP 版 本 ， 也 称 为 Mosaic。 

像 PEM 一 样 ，MSP 和 PMSP 的 软件 使 用 可 方便 地 设计 成 适应 各 种 保密 功能 的 保密 算法 ， 
其 功能 包括 签名 、 散 列 运算 和 加 密 。PMSP 将 与 Capstone 芯片 一 起 工作 (参见 24. 17 节 )。 





24.12 Pretty Good Privacy 


PGP (Pretty Good Privacy) 是 由 Philip Zimmermann 设计 的 免费 保密 电子 邮件 程 
FU, ERN IDEA 进行 数据 加 密 ， 采 用 RSA ( 密 钥 长 度 可 达 2047 位 ) 进行 密 钥 管理 和 
数字 签名 ， 采 用 MDS 作为 单 向 散 列 函数 。 

PGP 的 随机 公开 密 钥 采用 概率 检验 器 ， 它 通过 测量 用 户 打 字 时 的 键盘 等 待 时 间 得 到 初 
始 值 。PGP 采用 ANSI X9. 17055 (参见 8. 1 节 ) 方法 产生 随机 的 IDEA %4, PGP 中 用 对 
称 算 法 IDEA 替代 DES 算法， 并 使 用 经 过 散 列 运算 的 代替 口令 来 加 密 用 户 的 私人 密 钥 。 
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PGP 加 密 的 消息 具有 层次 性 的 安全 性 。 假 定 密码 分 析 者 知道 接收 者 的 密 钥 ID， 他 从 加 
密 的 消息 中 仅 能 知道 接收 者 是 谁 。 如 果 消 息 是 签名 的 ， 接 收 者 只 有 在 解密 消息 后 方 知 对 此 消 
息 签名 的 人 。 此 方法 与 PEM 不 同 的 是 : PEM 在 未 加 密 的 头 部 留 下 一 些 有 关 发 送 者 、 接 收 
者 和 消息 的 信息 。 

PGP 中 最 令 人 感 兴趣 的 是 密 钥 管理 中 的 分 发 方法 〈 参 见 8. 12 节 )，PGP 中 没有 密 钥 证 
书 管理 机 构 ， 所 有 的 用 户 产生 并 分 发 他 们 自己 的 公开 密 钥 。 用 户 可 通过 相互 对 公开 密 钥 签名 
以 创建 一 个 所 有 PGP 用 户 的 互联 组 。 

例如 ，Alice 可 能 将 她 的 公开 密 钥 传 给 Bob。 由 于 Bob 认识 Alice， 所 以 在 Alice 的 公开 
密 钥 上 签名 。 接 着 Bob 将 签名 的 密 钥 传 回 给 Alice， 同 时 保留 副本 。 当 Alice 想 与 Carol 通信 
时 ，Alice 将 Bob 签名 的 密 钥 副本 传 给 Carol。Carol 可 能 在 某 个 时 候 已 经 得 到 了 Bob 的 公开 
密 钥 ， 并 且 信 任 Bob 签名 的 其 他 用 户 的 密 钥 。 他 用 Alice 的 密 钥 验 证 签名 ， 如 果 签 名 有 效 就 
接受 。 这 样 Bob 就 将 Alice 介绍 给 了 Carol. 

PGP 没有 说 明 建 立信 任 的 方法 。 用 户 可 以 自由 决定 信任 谁 。PGP 提供 用 公开 密 钥 建立 
相互 信任 的 机 制 。 每 一 个 用 户 保 留 一 个 收集 公开 密 钥 签名 的 文件 ， 称 为 公开 密 钥 环 (public- 
key ring) 。 密 钥 环 的 每 一 个 密 钥 都 有 一 个 密 钥 合 法 性 字段 ， 说 明 特 殊 用 户 信任 密 钥 有 效 性 的 
程度 。 信 任 标 准 越 高 ， 用 户 越 信 任 密 钥 的 合法 性 。 签 名 的 信任 字段 可 衡量 用 户 信任 签名 者 对 
其 他 用 户 公 开 密 钥 签 名 的 程度 。 最 后 ， 用 户 自 身 信任 字段 说 明了 一 个 特定 用 户 信任 密 钥 所 有 
者 对 其 他 公开 密 钥 签 名 的 程度 ， 该 字段 由 用 户 手动 设置 的 ， 随 着 用 户 提供 新 的 信息 ，PGP 
将 继续 更 新 这 些 字段 。 

图 24-7 显示 了 在 这 种 模型 中 怎样 寻找 一 个 特定 用 户 Alice。 顶 层 是 Alice 的 密 钥 ， 其 他 用 户 
都 完全 信任 她 。Alice 已 经 对 Bob, Carol, Dave, Ellen 和 Frank 的 密 钥 进行 了 签名 。 她 信任 
Bob 和 Carol 对 其 他 用 户 公 开 密 钥 的 签名 。 但 不 完全 信任 Dave 和 Ellen 对 其 他 用 户 的 签名 。 





x [C] Alice 信 任 密 钥 所 有 者 对 其 他 密 钥 签名 
x 对 y 的 密 钥 签名 
[|] Alice 部 分 信任 密 钥 所 有 者 对 其 他 密 钥 签 名 
Alice 相 信 密 铀 是 合法 的 。 [<] Alice 不 相信 密 钥 是 合法 的 











图 24-7 PGP 信息 模型 


第 24 章 实现 方案 实例 。 419 


两 个 部 分 信任 者 的 签名 可 以 证 明 一 个 密 钥 。 因 为 Dave 和 Ellen 都 对 Kurt 的 密 钥 进行 了 
签名 ， 所 以 Alice 相信 Kurt 的 密 钥 是 有 效 的 。 这 在 PGP 中 不 是 自动 完成 的 。Alice 可 以 根据 
自己 的 需要 设置 级 别 。 

正 因为 Alice 相信 某 个 密 钥 是 有 效 的 ， 所 以 她 无 须 信任 它 对 其 他 用 户 密 钥 的 签名 。 她 不 
信任 Frank 对 其 他 用 户 公 开 密 钥 的 签名 ， 尽 管 她 自己 给 他 的 公开 密 钥 签 了 名 。 并 且 ， 她 不 信 
任 Martin 密 钥 上 Ivan 的 签名 ， 以 及 Nancy 密 钥 上 Kurt 的 签名 。 

Owen 的 密 钥 没有 存放 在 网 络 中 的 任何 地 方 。Alice 可 能 从 某 个 密 钥 服务 器 得 到 Owen 
的 密 钥 。PGP 没有 指定 这 个 密 钥 是 否 有 效 。Alice 必须 决定 是 相信 密 钥 有 效 ， 还 是 决定 相信 
密 钥 的 某 个 签发 者 。 

当然 ， 没 有 什么 可 以 阻止 Alice 使 用 她 不 信任 的 密 钥 。PGP 的 工作 是 警告 Alice 那个 密 
钥 不 能 相信 ， 而 不 是 阻止 通信 。 

整个 系统 最 薄弱 的 环节 是 密 钥 的 撤销 。 它 不 能 保证 没 人 会 使 用 不 安全 的 密 钥 。 如 果 Alice 
的 私人 密 钥 被 盗 ， 她 将 发 出 一 个 密 钥 撤销 证 书 (key revocation certificate)， 但 是 由 于 这 个 
密 钥 的 分 发 是 非 正 式 的 且 将 花费 大 量 的 时 间 和 口舌 ， 故 不 能 保证 密 钥 环 中 每 一 个 有 Alice 公 
开 密 钥 的 用 户 都 能 收 到 。 由 于 Alice 必须 用 她 的 私人 密 钥 签名 撤销 的 证 书 ， 所 以 如 果 Alice 
同时 丢失 了 私人 密 钥 ， 她 就 不 能 撤销 密 钥 。 

在 本 书写 作 时 ，PGP 的 版 本 是 2. 6.2，PGP 3.0 在 1995 年 年 底 发 表 。PGP 3.0 包含 了 
可 选 的 3 重 DES、SHA 和 其 他 的 一 些 公开 密 钥 算 法 ， 以 及 一 个 分 离 加 密 和 签名 的 公开 密 钥 / 
私人 密 钥 密 钥 对 ， 增 加 了 密 钥 撤销 程序 ， 改 进 了 密 钥 管理 功能 ， 并 在 其 他 程序 中 集成 了 
PGP 的 应 用 程序 接口 API) 和 完全 重 写 代 码 库 。 

PGP 支持 的 操作 系统 有 MS-DOS, UNIX, Macintosh, Amiga 和 Atari。 对 私人 及 非 商 
业 性 使 用 它 是 免费 的 ， 并 且 可 从 许多 因特网 的 ftp 站 点 获得 。 如 果 想 从 MIT 的 ftp 站 点 下 载 
PGP， 可 用 getpgp 身份 远程 登录 到 net-disk. mit. edu， 回 答 一 些 问 题 ， 接 着 登录 到 net- 
disk. mit. edu 上 ， 然 后 可 在 远程 登录 会 话 中 改变 路 径 名 。 它 同样 可 以 从 ftp. ox. ac. uk, 
ftp. dsi, unimi. it, ftp. funet. fi, ftp. demon. co. uk, Compuserve, AOL 和 其 他 地 方 获 得 
对 于 美国 商业 用 户 来 说 ， 可 以 花 大 约 100 美元 从 一 家 名 为 ViaCrypt 的 公司 获得 完整 版 。 该 
公司 的 地 址 是 : 9033 N 24* Ave, Phoenix, AZ, 85021; 电话 : (602) 944-0773; E-mail: 
viacrypt@acm. org。 有 多 个 共享 软件 可 将 PGP 集成 到 MS-DOS, Windows, Macintosh 和 
UNIX 系统 中 。 

目前 有 一 些 书 讲 到 了 PGP MS! 。 其 源 代码 甚至 在 一 本 试图 打击 美国 国务 院 的 书 中 
HBL ， 因 为 国务 院 继续 坚 持 源 代 码 只 能 以 书面 的 形式 而 不 能 以 电子 方式 出 口 。 假 如 你 信 
任 IDEA, PGP 将 可 能 是 接近 军事 级 加 密 的 最 佳 捷径 。 


24.13 智能 卡 

智能 卡 是 一 个 塑料 卡 ， 大 小 和 形状 与 信用 卡 一 样 ， 内 部 符 人 有 计算 机 芯片 。 这 并 不 是 一 
种 新 技术 (20 年 前 就 已 申请 了 专利 )， 但 由 于 实际 的 限制 ， 直 到 大 约 五 年 前 才 使 它 的 生产 成 
为 可 能 。 它 们 大 多 在 欧洲 生产 。 许 多 国家 用 智能 卡 收取 电话 费 。 现 在 已 有 信用 卡 、 现 金 卡 和 
其 他 的 一 些 智能 卡 。 美 国 的 一 些 智 能 卡 公司 正在 研究 一 项 技术 ,使 今后 的 美国 公民 在 钱包 里 
只 需 放 智能 卡 而 不 用 放 现 金 。 

智能 卡 含有 一 个 小 的 计算 机 (通常 是 一 个 8 位 的 微 处 理 器 ) RAM (KA 250 字 节 )、 
ROM (大 约 6 或 8KB) 和 EPROM 或 EEPROM (大 约 几 KB)。 将 来 的 智能 卡 将 有 更 大 的 容 
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量 ， 但 是 智能 卡 的 物理 限制 使 扩充 变 得 困难 。 智 能 卡 有 它 自 己 的 操作 系统 、 程 序 和 数据 。 
〈 它 不 自 带 电源 ， 它 的 电源 从 连接 的 读 卡 器 中 获得 .) 智能 卡 是 安全 的 ， 在 这 个 世界 上 ， 你 可 
能 不 信任 其 他 人 的 计算 机 或 电话 或 者 其 他 什么 ， 但 你 仍然 可 以 相信 你 钱包 里 的 卡 。 

智能 卡 中 可 以 有 不 同 的 加 密 算 法 协议 和 算法 程序 。 它 们 可 能 配置 成 一 种 电子 钱包 ， 可 以 
花费 和 接收 数字 现金 。 它 们 可 以 执行 零 知 识 鉴别 协议 ， 并 且 可 以 有 自己 的 加 密 密 钥 。 它 们 可 
以 对 文件 签名 或 者 解锁 计算 机 中 的 一 些 应 用 。 

某 些 智 能 卡 被 设 成 是 防臭 改 的 ， 这 样 可 以 保护 发 卡 机 构 。 银 行 不 希望 用 户 攻 击 他 们 的 智 
能 卡 来 获得 更 多 的 钱 。 

智能 卡 很 有 意思 ， 关 于 它们 的 信息 也 很 多 。 文 献 [672] 是 一 篇 很 好 的 有 关 智 能 卡 加 密 
的 综述 文章 。 每 年 10 月 在 巴黎 都 将 举行 一 次 CARTES 会 议 ， 同 时 每 年 的 4 月 将 在 华盛顿 举 
行 一 次 CardTech 会 议 。 文 献 [342、382] 是 另外 两 个 智能 卡 会 议 的 会 议 录 。 已 有 数 百 计 的 
智能 卡 专利 ， 大 部 分 属于 欧洲 公司 。 文 献 [1682] 是 一 篇 有 趣 的 文章 ， 关 于 智能 卡 将 来 可 能 
的 应 用 : 完整 性 验证 、 鉴 别 、 副 本 保护 、 数 字 现金 和 保密 的 邮资 计 费 。 


24.14 公开 密 钥 密码 学 标准 

公开 密 钥 密码 学 标准 (Public-Key Cryptography Standard, PKCS) 是 RSA 数据 安全 公 
司 试图 为 公开 密 钥 密码 学 提供 的 一 个 工业 标准 接口 。 传 统 上 说 ， 这 种 事情 应 由 ANSI 处 
H, 但 是 考虑 到 当前 加 密 制 度 的 情况 ，RSADSI 公司 认为 他 们 最 好 自己 制定 标准 。 在 多 个 
公司 的 共同 努力 下 ， 他 们 研制 了 一 系列 标准 。 其 中 某 些 标准 可 与 其 他 标准 兼容 而 有 些 则 
不 兼容 。 

这 些 标准 还 算 不 上 传统 意义 的 标准 ， 对 PKCS 标准 没有 标准 团体 召集 会 议和 投票 。 依 照 
RSADSI 自己 的 说 法 ，RSADSI 将 “单独 保留 制定 每 个 标准 的 权力 ”， 并 将 “在 适当 的 时 候 
发 表 修 订 后 的 标准 ”2 。 

即使 如 此 ， 仍 然 有 许多 好 的 东西 。 如 果 你 在 对 公开 密 钥 算 法 编程 时 不 知道 使 用 何 种 句法 
和 数据 结构 ， 这 些 标准 可 能 会 给 你 带 来 帮助 。 由 于 它们 不 是 真正 的 标准 ， 你 可 以 根据 需要 进 
行 裁剪 。 

下 面 简 单 地 描述 了 每 一 个 PKCS (PKCS#1 中 包含 了 PKCS# 2 和 PKCS#4). 

。 PKCS #1 HRT RSA 加 密 和 解密 的 方法 ， 主 要 用 于 组 织 PKCS#7 中 所 描述 的 

数字 签名 结构 和 数字 信封 。 对 于 数字 签名 ， 用 签名 者 的 私人 密 钥 对 散 列 运算 后 的 消 
息 进 行 加 密 。PKCS #7 对 消息 和 散 列 进行 了 详细 描述 。 对 于 数字 信封 〈 加 密 信 
息 )， 首 先 信息 用 一 个 对 称 的 加 密 算法 加 密 ， 然 后 用 接收 者 的 公开 密 钥 加 密 消 息 密 
钥 。 依 照 PKCS# 7 的 句法 对 加 密 的 消息 和 加 密 的 密 钥 进行 了 描述 。 这 两 个 功能 都 与 
PEM 标准 兼容 。 对 于 RSA 的 公开 密 钥 、 私 人 密 钥 、 三 个 签名 算法 (MD2 和 RSA, 
MD4 和 RSA 以 及 MD5 和 RSA) 以 及 签名 证 书 ，PKCS #1 也 描述 了 与 X. 509 和 
PEM 中 同样 的 语法 。 

。 PKCS #30 HR T XM Diffie-Hellman 密 钥 交换 功能 的 方法 。 

e PKCS #5 1 描述 了 用 一 个 从 口令 中 派生 的 秘密 密 钥 加 密 消息 的 功能 。 它 使 用 MD2 
或 MDS 从 口令 中 派生 密 钥 ， 并 采用 DES 的 CBC 模式 加 密 。 这 个 功能 主要 用 于 加 密 
从 一 个 计算 机 传送 到 另 一 个 计算 机 的 私人 密 钥 ， 但 是 不 能 用 于 加 密 消 息 。 

。 PKCS #6.” 引 描述 了 公开 密 钥 证 书 的 标准 语法 。 该 语法 是 X. 509 证 书 的 扩展 ， 如 果 
需要 ， 可 以 取出 X. 509 证 书 。 除 了 X. 509 证 书 外 ， 其 他 附加 属性 已 使 证 书 处 理 不 限 
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于 公开 密 钥 。 这 些 包括 其 他 一 些 信息 ， 如 电子 邮件 的 地 址 。 

。 PKCS #7 外 是 一 个 对 数据 加 密 或 签名 的 通用 语法 ， 如 数字 信封 和 数字 签名 。 这 些 
语法 是 递归 的 ， 所 以 信封 可 以 进行 租 套 ， 或 者 可 以 签名 已 经 加 密 的 数据 。 这 些 语法 
还 提供 了 其 他 一 些 属性 ， 如 可 与 消息 内 容 一 起 鉴别 的 时 间 标 记 。PKCS #7 与 PEM 
兼容 ， 所 以 不 需 其 他 密码 操作 就 可 以 将 加 密 的 消息 转换 成 PEM 消息 ， 反 之 亦 然 。 
PKCS#7 支持 多 种 基于 证 书 的 管理 系统 ，PEM 是 其 中 的 一 个 。 

。 PKCS # 81 中 描述 了 私人 密 钥 信息 语法 ， 包 括 私 人 密 钥 、 一 组 属性 和 加 密 私 人 密 钥 
的 语法 。PKCS #5 可 以 用 于 加 密 私人 密 钥 信息 。 

。 PKCS #9''°" EX T PKCS #6 扩展 证 书 、PKCS #7 数字 签名 消息 和 PKCS 48 加 
密 私人 密 钥 信息 的 选择 属性 类 型 。 

e PKCS #10t 引 描述 了 证 书 请 求 的 标准 语法 。 一 个 证 书包 含 可 区 别 的 名 字 、 公 开 密 
HA CPER) 一 组 属性 ， 所 有 这 些 均 由 请 求证 书 的 用 户 签名 。 将 证 书 请 求 发 送 至 
WEB PLES. 证书 机 构 将 请 求 转换 成 X. 509 公开 密 钥 证 书 或 PKCS #6 证书 。 

。 PKCS #110 是 密码 标记 的 API 标准 ， 详 细 规 定 了 一 个 称 为 Cryptoki 的 编程 接 
口 ， 它 可 用 于 各 种 可 移植 的 密码 设备 。Cryptoki 给 出 了 一 个 通用 逻辑 模型 ， 不 需要 
知道 详细 的 技术 细节 就 可 以 在 可 移植 的 设备 上 完成 加 密 操 作 。 这 个 标准 还 定义 了 应 
用 范围 : 设备 可 以 支持 的 多 组 算法 。 

。 PKCS #120 沁 描述 了 将 用 户 公开 密 钥 、 受 保护 的 私人 密 钥 、 证 书 和 其 他 相关 的 加 
密 信息 存放 在 软件 中 的 语法 。 它 的 目标 是 为 各 种 应 用 提供 一 个 标准 的 单一 密 钥 文件 。 

这 些 标 准 是 全 面 的 ， 但 并 不 是 完善 的 。 许 多 东西 未 包含 在 标准 的 范围 内 ， 如 命名 的 问 

题 、 围 绕 证 书 的 未 加 密 问 题 、 密 钥 长 度 和 各 种 参数 的 条 件 等 。PKCS 所 提供 的 是 基于 公开 密 
钥 加 密 的 数据 传输 格式 和 支持 这 个 传输 的 基本 结构 。 


24. 15 通用 电子 支付 系统 


通用 电子 电 付 系统 (Universal Electronic Payment System, UEPS) 最 初 是 为 南非 农村 
而 开发 研制 的 一 种 智能 卡 银行 应 用 系统 ， 后 来 被 南非 主要 的 银行 组 织 所 采用 。 到 1995 年 南 
非 可 能 已 经 发 行 了 200 万 张 智 能 卡 。 它 同样 被 纳米 比 亚 所 采用 ， 在 俄罗斯 也 至 少 有 一 家 银行 
配置 了 它 。 

该 系统 可 提供 保密 的 借方 卡 。 它 适用 于 电话 服务 质量 很 差 、 不 能 进行 在 线 鉴 别 的 地 方 。 
消费 者 和 批发 商都 有 卡 ， 消 费 者 可 以 通过 卡 将 钱 转交 给 批发 商 。 然 后 批发 商用 他 们 的 卡 打 电 
话 并 将 钱 存 放 在 他 们 银行 的 账户 里 。 消 费 者 可 以 用 卡 打 电 话 将 钱 存 放 在 他 们 的 卡 里 。 该 系统 
不 提供 匿名 ， 仅 仅 为 了 防止 欺骗 。 

下 面 是 消费 者 Alice 和 批发 商 Bob 之 间 的 通信 协议 。( 实 际 上 ，Alice 和 Bob 只 需要 将 他 
们 的 卡 插入 一 个 机 器 ， 然 后 等 待 它 完成 交易 。) 当 Alice 第 一 次 得 到 卡 时 ， 她 同时 得 到 了 一 
对 密 钥 K 和 天 , 。 银 行 通 过 她 的 姓名 和 一 些 秘密 的 函数 计算 出 这 些 密 钥 。 只 有 批发 商 的 卡 
掌握 了 计算 出 消费 者 密 钥 所 需 的 秘密 。 

(1) Alice 用 DES 算 法 对 她 的 姓名 A, Bob 的 姓名 B、 随 机 数 Rs 加密， 首先 用 K 加 
T, REAK 加密， 并 且 与 她 的 没有 加 密 的 姓名 A 一 起 传输 给 Bob. 

A, Ex, (Ex, (A, B, Ra)) 

(2) Bob 通过 Alice 的 姓名 计算 出 K 和 K,。 他 解密 收 到 的 信息 ,确认 A 和 B 的 正确 

性 ， 然 后 用 K: 加 密 Alice 加 密 前 的 明文 信息 。 


422 > 第 四 部 分 真实 世界 


Pe CA, By Ra 

Bob 并 不 将 这 个 结果 发 送 给 Alice， 密 文 的 56 位 变 成 密 钥 K,. A Bob 用 DES 算法 对 
他 的 姓名 、Alice 的 姓名 和 另外 的 一 个 随机 数 Rs SOAK; 加 密 ， 再 用 K, 加 密 ， 他 将 加 密 的 
结果 发 送 给 Alice。 

Ex, (Ek, (A, B, Rs)) 

(3) Alice 用 与 Bob EERI AHA K. Whi Bob 发 给 她 的 消息 ,确认 了 B 和 A 的 
正确 性 ， 接 着 用 K 加 密 Bob 加 密 前 的 信息 。 

Ex, (A, B, Rs) 

Alice 并 不 将 这 个 结果 发 给 Bob， 密 文 的 56 位 变 成 密 钥 K, 。 然 后 Alice 将 她 和 Bob 的 姓 
名 以 及 数字 校 验 C 发 给 Bob。 这 个 校 验 包含 发 送 者 和 接收 者 的 姓名 、 日 期 、 校 验 数 字 、 金 额 
和 两 个 MAC， 均 用 DES 算法 先 用 密 钥 Ks 再 用 天, 加密， 其 中 一 个 MAC 可 通过 Alice 的 银 
行 验证 ， 另 一 个 则 只 能 由 结算 中 心 验证 。 

Ex, (Ek, (A, B, C)) 

(4) Bob H5 Alice 相同 的 方法 计算 出 K,。 假 如 所 有 的 姓名 和 校 验 都 正确 ， 他 就 接受 
付款 。 

该 协议 的 高 明之 处 在 于 每 一 次 加 密 密 钥 都 依靠 先前 的 消息 提供 。 每 一 个 消息 作为 所 有 先 
前 消息 的 双重 认证 。 这 意味 着 某 人 不 能 重 放 一 个 旧 的 消息 ， 否 则 接收 者 根本 不 能 将 它 解密 。 

该 协议 的 另 一 个 高 明之 处 在 于 它 加 强 了 正确 性 执行 。 如 果 一 个 应 用 开发 者 没有 正确 执行 
该 协议 ， 协 议 将 不 起 作用 。 

双方 的 卡 记录 每 一 次 交易 。 当 卡 可 以 同 银行 直接 通信 时 〈 批 发 商 存 放 他 的 钱 ， 消 费 者 取 
出 更 多 的 钱 存 人 卡 中 )， 银 行将 这 些 记 录 保 存 下 来 用 于 审计 。 

防 算 改 硬件 可 防止 参与 者 混淆 数据 。Alice 不 能 改变 她 卡 中 的 数据 。 大 量 的 审计 可 提供 
数据 来 识别 和 检举 欺诈 交易 。 这 些 卡 中 有 一 些 通用 的 秘密 : 消费 者 卡 中 的 MAC 密 钥 、 批 发 
商 卡 中 将 消费 者 的 姓名 转化 为 Ki AK, 的 函数 ,但 其 逆 过 程 的 实现 则 被 认为 很 困难 。 

该 方案 并 不 是 绝对 的 完善 的 ， 仅 比 纸 质 钞票 和 传统 的 借用 卡 安全 。 欺 骗 的 威胁 不 是 来 自 
军事 对 手 ， 而 是 来 自 批发 商 和 消费 者 中 的 机 会 主义 者 。UEPS 可 防止 这 种 欺骗 。 

”消息 交换 是 该 协议 成 功 的 例子 : 每 一 个 消息 包含 双方 名 字 和 新 的 唯一 的 信息 ， 并 且 每 一 
个 消息 均 依靠 先前 的 所 有 消息 。 


24.16 Clipper 


Clipper 芯片 《也 叫做 MYK-78T) 是 一 种 由 NSA 设计 的 、 防 自 改 的 、 用 于 加 密 声音 
VLSI 芯片 。 它 是 美国 政府 执行 托管 加 密 标 准 CEES) 的 两 种 芯片 之 一 5 。 芯 片 由 VLSI 
公司 制造 ， 由 Mykotronx 公司 对 芯片 进行 程序 设计 。 最 初 ，Clipper 用 于 AT& T3600 型 电 
话 保密 设备 中 (参见 24. 18 节 ) 。 芯 片 实现 了 Skipjack 加 密 算法 (参见 13. 12 节 ) ， 该 算法 是 
由 NSA 设计 的 机 密 秘 密 密 钥 加 密 算法 ， 仅 用 于 OFB 模式 下 。 

Clipper 芯片 及 整个 EES 最 具 争 议 的 是 密 钥 委托 协议 (参见 4. 14 节 )。 每 个 芯片 有 一 个 
特定 的 密 钥 ， 但 对 于 消息 不 是 必需 的 。 该 密 钥 用 于 加 密 每 个 用 户 消 息 密 钥 的 副本 。 在 同步 处 
理 过 程 中 ， 发 送 者 Clipper 芯片 产生 和 发 送 一 个 法 律 强 制 的 访问 字段 (Law Enforcement 
Access FieldLEAF, LEAF) 给 接收 者 Clipper 芯片 。LEAF 包含 了 一 个 用 特殊 密 钥 〈 称 为 
设备 密 钥 Cunit key)) 加 密 当前 会 话 密 钥 的 副本 。 这 人 允许 政府 窃听 者 恢复 会 话 密 钥 ， 然 后 用 
会 话 密 钥 恢复 出 会 话 的 明文 信息 。 
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根据 NIST 主任 的 介绍 2 : 


预计 将 用 一 个 “ 密 钥 托管 ”系统 来 确保 采用 Clipper 芯片 保护 美国 公民 合法 的 

秘密 。 由 芯片 组 成 的 每 套 设 备 有 两 个 唯一 的 密 钥 ， 政 府 机 构 授 权 需 用 这 两 个 密 钥 来 

解密 由 设备 加 密 的 消息 。 在 设备 制造 好 后 ， 将 两 个 密 钥 分 别 存 入 由 首席 检察 官 建立 

的 两 个 “ 密 钥 托管 ”数据 库 。 密 钥 的 存 取 仅 限于 有 合法 授权 、 执 行窃 听 的 政府 

官员 。 

政府 同样 鼓励 出 口 的 电话 采用 这 些 设备 。 没 有 人 知道 那些 密 钥 托管 数据 库 将 会 发 生 什么 事 。 

HOFF PIAL, LEAF 内 部 结构 值得 讨论 59407462] | LEAF 是 一 个 128 位 的 字符 
串 ， 假 定 两 个 掌握 了 这 些 密 钥 托管 数据 库 的 托管 机 构 (escrow agency) 合作 ，LEAF 包含 了 足 
够 的 信息 允许 司法 部 门 恢复 会 话 密 钥 Kse LEAF 包含 了 一 个 32 位 的 设备 标识 符 U， 标 识 符 对 
Clipper 芯片 是 唯一 的 。 它 还 包含 了 用 芯片 唯一 的 设备 密 钥 K, 加 密 的 80 位 的 会 话 密 钥 和 称 为 
托管 标识 符 的 16 位 的 校 验 和 C， 这 个 校 验 和 是 会 话 密 钥 、IV 和 其 他 的 一 些 信息 的 函数 。 这 3 
个 字段 用 固定 的 密 钥 系列 Ke WMA, Ke 由 所 有 互 操作 的 Clipper 芯片 共享 。K: 所 用 的 加 密 模 
式 、 校 验 和 的 细节 和 LEAF 精确 的 结构 都 是 保密 的 。 它 看 起 来 像 这 种 形式 : 

Ex, Ux, (Ks,0)) 

Ku 在 制造 时 就 已 经 编程 到 Clipper 芯片 中 。 接 着 这 个 密 钥 被 拆 开 〈 参 见 3. 6 节 )， 并 保 
存在 两 个 不 同 的 密 钥 托管 数据 库 中 ， 由 两 个 不 同 的 托管 机 构 保 护 。 

如 果 Eve 想 从 LEAF 中 恢复 K,， 首 先 她 必须 用 Kr 解密 LEAF 恢复 U， 接 着 必须 把 法 
院 命令 出 示 给 每 个 托管 机 构 ， 每 个 机 构 将 对 所 给 U 返回 半 个 K,。Eve 将 收 到 的 两 半 进 行 异 
或 恢复 K,， 然 后 用 K,， 恢 复 K,， 接 下 来 她 就 可 以 用 K, 进行 窃听 了 。 

设计 校 验 和 是 为 了 阻止 某 些 人 进行 欺骗 。 如 果 校 验 和 有 误 ， 接 收 者 Clipper 芯片 就 不 会 
解密 。 然 而 由 于 校 验 和 只 有 2”* 个 可 能 的 值 ， 所 以 可 以 在 42 分 钟 内 找到 一 个 具有 正确 校 验 和 
但 密 钥 错 误 的 假 LEAF 1 。 这 对 Clipper 通 话 丝毫 没有 帮助 。 因 为 密 钥 交换 协议 不 是 Clipper 
芯片 的 组 成 部 分 ， 所 以 42 分 钟 的 穷 举 攻击 必须 发 生 在 密 钥 交 换 以 后 ， 不 能 发 生 在 电话 通话 
前 。 该 攻击 对 传真 或 者 Fortezza 卡 可 行 (BW 24. 17 节 )。 

据 猜测 Clipper 芯片 能 够 阻止 “非常 专业 的 、 资 金 雄 厚 的 对 手 ” 的 闭 向 工程 攻击 号 5 ， 
但 传闻 桑 迪 亚 国 家 实验 室 对 Clipper 芯片 进行 了 成 功 的 逆向 工程 攻击 。 即 使 这 些 传闻 不 是 真 
的 ， 我 想 世 界 上 最 大 的 芯片 生产 商 也 能 够 生产 闭 向 工程 的 Clipper。 这 仅仅 是 一 个 时 间 问 题 ， 
将 来 一 定 有 人 能 用 正确 的 资源 和 道德 实现 它 。 

与 该 方案 有 关 的 是 公众 的 隐私 问题 。 许 多 公民 自由 宣传 组 织 强 烈 反 对 密 钥 托管 机 制 赋予 
政府 偷 听 公 民 通 话 的 权利 。 但 不 可 理解 的 是 该 主意 从 未 被 国会 通过 。NIST 出 版 了 托管 加 密 
标准 作为 FIPS'' ， 缓 冲 了 这 个 令 人 愤怒 的 法 律 过 程 。 现 在 看 来 EES 将 慢 慢 地 、 静 静 地 消 
失 ， 但 标准 会 渐渐 对 你 产生 影响 。 

K 24-2 中 列 出 了 一 些 参 与 该 项 目的 各 个 机 构 。 每 一 个 机 构 都 想 做 威胁 分 析 。 是 使 两 个 托 





管 机 构 都 参与 执行 呢 ? 还 是 使 托管 机 构 除 了 盲目 同意 外 ， 表 24-2 EES 参与 机 构 
根本 不 知道 有 关 搭 线 窃听 请 求 的 任何 事情 呢 ? 或 是 使 政府 司法 机 构 “系统 发 起 者 和 系列 密 钥 机 构 
强制 采用 一 个 秘密 算法 作为 商业 标准 呢 ? NIST 。 程序 管理 员 和 托管 机 构 


无 论 如 何 ， 执 行 Clipper 产生 了 很 多 问题 ， 在 法 庭 上 FBI 解密 用 户 和 系列 密 钥 机 构 
将 对 它 的 价值 表示 怀疑 。 记 住 ，Clipper 仅仅 采用 OFB 方 MAM RNR 
式 工作 。 无 论 你 是 否 被 告 之 ， 它 不 提供 完整 性 和 鉴别 。 —SA 程序 开发 者 
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设想 Alice 正在 受审 ， 并 且 一 个 Clipper 加 密 电 话 是 证 据 的 一 部 分 。Alice 声称 从 来 没有 
打 过 这 个 电话 ， 声 音 不 是 她 的 。 电 话 的 压缩 算法 非常 差 ， 它 几乎 不 能 辨别 出 Alice 的 声音 ， 
但 控 方 证 明 : 由 于 只 有 Alice 的 托管 密 钥 能 够 解密 这 个 通话 ， 因 此 它 一 定 是 来 自 Alice 的 
电话 。 

Alice 将 用 类 似 £984, 1339] 的 方法 证 明 这 个 电话 是 假 的 : 利用 给 出 的 明文 和 密 文 进行 
异 或 ， 可 以 得 到 密 钥 流 。 接 着 这 个 密 钥 流 与 完全 不 同 的 明文 异 或 ， 从 而 得 到 一 个 伪造 的 密 
文 。 当 把 伪造 的 密 文 输入 到 Clipper 解密 时 ， 它 将 转变 为 一 个 伪造 的 明文 。 不 管 真 假 ， 把 打 
电话 作为 证 据 都 将 在 陪审 团 中 引起 足够 的 怀疑 。 

男 一 个 攻击 称 为 挤 压 攻击 ， 人 允许 Alice 陷害 Bob。 [575] 中 介绍 了 该 攻击 : Alice 使 用 
Clipper 呼叫 Bob, Alice 保存 LEAF 和 会 话 密 钥 的 副本 。 接 着 ， 她 呼叫 Carol (Alice 知道 
Carol 已 经 被 窃听 ) 。 在 密 钥 建立 期 间 ，Alice 迫使 与 Carol 通话 的 会 话 密 钥 和 与 Bob 通话 的 
会 话 密 钥 一 样 。 这 要 求 改动 电话 ， 但 并 不 困难 。 接 着 Alice 用 Bob 的 LEAF 代替 她 自己 的 
LEAF 发 送 给 Carol。 这 是 一 个 有 效 的 LEAF， 因 此 不 会 引起 Carol 电话 的 注意 。 现 在 她 就 
可 以 与 Carol 进行 通话 了 。 当 警察 解密 LEAF 时 ， 他 们 将 发 现 它 是 Bob 的 LEAF。 即 使 Bob 
没有 被 Alice 陷害 ， 在 法 庭 上 他 也 能 声明 这 样 的 事实 ， 以 破坏 Clipper 计划 的 目的 。 

美国 法 律 执行 机 构 不 会 在 商业 犯罪 中 搜集 证 据 ， 它 在 法 庭 上 是 无 效 的 。 即 使 密 钥 托管 是 
一 个 好 主意 ， 但 是 采用 Clipper 实现 它 是 一 个 低劣 的 办 法 。 


24.17 Capstone 


Capstone (也 称 为 MYK-80) 是 NSA 开发 的 另 一 个 VLSI 加 密 芯片 ， 它 实现 了 美国 政 
We SE EF pe ME, Capstone 包含 了 下 面 的 一 些 功 能 “1. 

。 4 种 基本 模式 : ECB、CBC、CFB 和 OFB 下 的 Skipjack 密码 算法 。 

。 公开 密 钥 交换 算法 (KEA), ， 可 能 是 Diffie-Hellman, 

。 数字 签名 算法 (DSA). 

。 安全 散 列 算法 (SHA). 

。 通用 的 求 寡 算法 。 

。 采用 纯 噪 声 源 的 通用 的 随机 数 发 生 器 。 

Capstone 提供 安全 电子 商务 和 其 他 基于 计算 机 应 用 所 需要 的 密码 功能 。 第 一 个 应 用 是 在 称 
为 Fortezza 的 PCMCIA EE. (在 一 家 名 为 Tessera 的 公司 抱怨 前 它 最 初 叫做 Tessera 。) 

为 防止 前 面 讨 论 的 对 LEAF 的 穷 举 攻 击 ， 在 NSA X Fortezza 卡 生 产 的 版 本 中 曾 考虑 增 
加 Capstone 的 LEAF 校 验 和 的 长 度 。 实 际 上 ， 他 们 增加 了 一 个 特性 ， 即 出 现 10 个 错误 的 
LEAF 后 对 卡 进行 复位 。 这 仅 将 找到 假 的 但 有 效 的 LEAF 所 需 的 时 间 增 加 了 10%, BE 46 分 
钟 。 我 对 此 不 敢 苟同 。 


24.18 AT&T3600 型 电话 保密 设备 


AT&T 电 话 保密 模块 (Telephone Security Device, TSD) 是 Clipper 电话 。 事 实 上 ， 
TSD 有 4 个 模块 。 一 个 包含 Clipper 芯片 ， 另 一 个 包含 可 出 口 AS&T 专 有 的 加 密 算 法 ， 
第 三 个 包含 用 于 国内 和 可 出 口算 法 的 专用 算法 ， 第 四 个 包含 Clipper、 国 内 和 可 出 口 的 
算法 。 

对 每 个 电话 ，TSD 使 用 不 同 的 会 话 密 钥 。 一 对 TSD 不 依靠 Clipper 芯片 ， 而 是 利用 
Diffie-Hellman 密 钥 交换 产生 一 个 会 话 密 钥 。 由 于 Diffie-Hellman 不 包含 鉴别 ， 所 以 TSD 有 
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两 种 方法 来 阻止 中 间 人 攻击 。 

首先 是 屏幕 。TSD 对 会 话 密 钥 进 行 散 列 运算 ， 在 一 个 小 屏幕 上 显示 该 函数 为 4 个 十 六 
进 制 数 字 。 通 话 者 应 确认 其 屏幕 上 显示 的 是 同样 的 数字 。 语 音质 量 很 好 ， 使 双方 可 识别 出 对 
方 的 声音 。 

Eve 仍 有 可 能 进行 攻击 。 假 设 Eve 在 Alice 与 Bob 通话 的 中 间 。 她 在 Alice 的 线 上 使 用 
一 个 TSD， 在 与 Bob 的 线 上 用 另 一 个 改进 过 的 TSD， 她 在 中 间 把 这 两 个 电话 桥接 起 来 。Alice 
想 进行 保密 通信 ， 她 通常 会 产生 一 个 密 钥 ， 除 非 Eve 正在 扮演 Bob, Eve 恢复 出 密 钥 ， 然 后 
利用 改进 过 的 TSD， 迫 使 她 产生 的 密 钥 和 Bob 具有 相同 的 散 列 值 。 这 种 攻击 听 起 来 不 太 可 
能 ,但 TSD 可 用 一 种 连锁 协议 的 变型 来 防止 这 种 攻击 。 

TSD 利用 噪声 源 和 一 个 具有 数字 反馈 的 混沌 放大 器 来 产生 随机 数 。 通 过 使 用 数字 信和 号 
处 理 器 的 白 噪 声 化 滤波 器 的 反馈 来 产生 位 流 。 

除 此 之 外 ，TSD 手册 根本 未 提 及 保密 问题 ， 实 际 上 ， 它 是 这 样 写 的 "” : 

AT&T 不 能 保证 TSD 能 防止 由 任何 政府 部 门 、 它 的 代理 或 任何 第 三 方 对 任何 

加 密 的 通信 进行 的 密码 攻击 。 此 外 ，AT&&T 也 不 保证 TSD TAHERA Rk 

的 方法 而 对 通信 进行 的 攻击 。 
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25. 1 国家 安全 局 


NSA 是 美国 国家 安全 局 的 缩写 (尽管 如 此 ， 在 专业 圈 内 ， 人 们 戏称 它 为 查 无 此 局 (No 
Such Agency) 或 从 不 开口 (Nerver Say Anything)， 它 是 美国 政府 的 官方 安全 机 构 ，1952 
年 由 哈里 。 杜 鲁 门 总 统 创 建 ， 设 在 国防 部 内 。 多 年 来 ， 它 的 存在 一 直 是 秘 而 不 宣 的 。NSA 
参与 情报 的 破译 ， 其 任务 是 监听 和 破译 所 有 与 美国 安全 相关 的 国外 通信 。 

以 下 段落 摘自 NSA 的 成 立宪 章 ， 它 于 1952 年 由 杜鲁门 总 统 签署 ， 并 在 其 后 多 年 内 属于 
机 密 文件 : 


NSA 中 的 COMINT 任务 是 提供 有 效 、 统 一 的 组 织 ， 并 对 由 美国 政府 下 达 的 针 
对 外 国政 府 的 通信 情报 活动 进行 控制 ， 同 时 提供 与 之 有 关 的 综合 操作 政策 和 手段 。 
在 该 指导 思想 下 ,， “通信 情报 ”或 COMINT 应 理解 为 用 于 除外 国 出 版 和 宣传 广播 
以 外 的 通信 拦截 的 所 有 手段 和 方法 ， 并 包含 除 通信 指定 接收 外 的 途径 获取 的 通信 信 
息 ， 但 排除 审查 机 构 和 最 终 情报 的 产生 与 分 发 。 

COMINT 活动 的 特殊 性 质 要 求 它们 在 所 有 方面 区 别 于 其 他 的 或 普通 的 情报 活 
动 。 与 情报 的 搜集 、 产 生 、 安 人 全、 执行 、 分 发 、 利 用 和 秘密 材料 有 关 的 执行 部 门 的 
长 官 下 达 的 命令 、 指 令 、 政 策 或 建议 不 能 用 于 COMINT 活动 ， 除 非 由 委员 会 资格 
部 门 或 权威 人 士 声明 和 下 达 。 其 余 对 情报 中 心 长 官 下 达 的 国家 安全 委员 会 情报 指令 
和 相关 的 由 情报 中 心 颁布 的 实施 指令 同样 不 能 用 于 COMINT 活动 ， 除 非 国家 安全 
委员 会 制订 了 专门 适用 于 COMINT 的 指令 。 


NSA 从 事 密码 方面 的 研究 ， 既 设计 保护 美国 通信 的 保密 算法 ， 同 时 又 设计 密码 分 析 技 
术 ， 以 监听 他 国 通信 。 众 所 周知 ，NSA 是 世界 上 最 大 的 数学 家 的 雇主 ， 也 是 世界 上 最 大 的 
计算 机 硬件 的 买主 。NSA 拥有 的 密码 学 专家 的 水 平 比 公开 的 技术 发 展 水 平 可 能 领先 许多 年 
(在 算法 上 ， 而 非 协 议 )， 它 毫 无 疑问 可 以 破译 实际 使 用 的 许多 系统 ， 但 是 由 于 国家 安全 ， 几 
乎 所 有 有 关 NSA 的 信息 〈 甚 至 它 的 预算 ) 都 是 保密 的 “传言 它 的 预算 是 每 年 130 亿美 元 
(包括 NSA 军 方 项 目的 人 员 的 投资 )》 并 拥有 雇员 16 000 A). 

NSA 运用 自己 的 权力 限制 密码 在 公开 场合 的 使 用 ， 以 阻止 敌国 使 用 太 强 的 加 密 方法 而 
使 NSA 无 法 破译 。James Massey 论述 了 在 密码 学 研究 方面 学 术 界 与 军事 界 之 间 的 这 种 
斗争 ， 


如 果 人 们 将 密码 学 视 为 政府 的 特权 ， 那 么 就 意味 着 大 多 数 密码 学 研究 将 关 起 门 
来 进行 。 毫 无 疑问 ， 今 天 秘密 从 事 密码 学 研究 的 人 远 远 超过 了 公开 从 事 密 码 学 研究 
的 人 。 事 实 上 ， 密 码 学 公开 研究 的 普及 还 只 是 近 10 年 的 事 ， 这 两 种 研究 团体 之 间 
的 矛盾 一 直 存 在 并 将 继续 存在 下 去 。 公 开 研 究 是 对 知识 进行 共同 探索 ， 主 要 通过 学 
术 杂 志 、 会 议 文献 和 出 版 物 进行 公开 的 思想 交流 而 使 其 具有 生命 力 。 但 是 ， 对 于 一 
个 负 有 破译 他 国 密码 责任 的 政府 机 构 来 说 ， 它 能 鼓励 公布 它 不 能 破译 的 密码 吗 ? 对 
于 一 个 有 良知 的 密码 研究 者 来 说 ， 他 能 公布 这 种 有 可 能 危害 自己 政府 的 密码 破译 者 
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效率 的 密码 吗 ? 人 们 可 能 会 辩解 说 ， 只 要 将 一 个 证 明 是 安全 的 密码 公布 ， 各 国政 府 

就 会 成 为 “正人 君子 ”。 但 是 ， 人 们 必须 清楚 ， 与 大 多 数学 科 领 域 不 同 ， 密 码 学 的 

公开 研究 充满 了 更 多 的 严酷 的 政治 和 道德 问题 。 让 人 感到 纳 头 的 不 是 政府 机 构 和 公 

开 研 究 者 之 间 在 密码 学 方面 产生 了 某 些 矛盾 ， 而 是 这 些 矛 盾 (至 少 我 们 了 解 其 中 一 

些 ) 一 直 非 常 少 并 且 十 分 温和 。 

James Bamford 写 了 一 本 有 关 NSA 的 十 分 有 趣 的 书 《The Puzzle Palace)", Hit H 
Bamford 和 Wayne Macdsen 修订 [so 。 


商业 COMSEC 认可 程序 


商业 COMSEC 认可 程序 (CCEP) ， 其 代码 名 为 Overtake， 于 1984 年 由 NSA 首创 ， 以 
推动 采用 嵌入 式 密码 的 计算 机 和 通信 产品 的 发 展 ”"。 军 队 一 直 在 为 这 类 昂贵 的 事情 投 
资 。 据 NSA 统计 ， 如 果 生 产 保密 设备 的 公司 同时 向 军队 和 社会 用 户 甚 至 海外 的 使 用 者 出 售 
设备 ， 成 本 必 将 会 下 降 并 且 各 方 都 会 受益 。 他 们 不 用 再 遵照 联邦 标准 1027 对 设备 的 要 求 ， 
这 样 CCEP 就 能 提供 政府 认可 的 密码 设备 。 

NSA 为 不 同 的 目的 开发 了 一 系列 的 密码 模块 。 针 对 不 同 的 应 用 ， 模 块 中 的 算法 各 不 相 
同 ， 制 造 商 可 以 拔 出 一 个 模块 而 插 人 另 一 个 用 户 要 求 的 模块 。 有 用 于 军队 的 模块 (TypeT) ， 





有 “ 非 保 密 但 敏感 的 ”用 于 政府 部 门 的 模块 A), 表 25-1 CCEP 模块 
用 于 企业 的 模块 〈 亚 型 )， 用 于 出 口 的 模块 CVAD. 应 用 I 型 I 
E 25-1 总 结 了 不 同 的 模块 、 应 用 及 名 称 。 语音 /低速 数据 Winster Edgeshot 


这 个 程序 依然 有 效 ， 但 从 未 流行 于 政府 之 外 。 所 计算 机 Tepache Bulletproof 
Fi MBSR ABT TEL, ATMO ACOA IM. MAA ENE Foresce Brushstroke 
从 NSA 获得 密 钥 。 很 多 公司 从 未 真正 想 过 要 采用 政府 下 一 代 Countersign I] Countersign [| 
指定 的 保密 算法 。 你 别 以 为 NSA 已 经 从 中 吸取 了 教训 ， 并 不 再 为 Clipper, Skipjack 及 托管 
加 密 芯 片 所 烦 扰 。 


25.2 国家 计算 机 安全 中 心 


国家 计算 机 安全 中 心 (NCSC) 是 NSA 的 一 个 分 支 机 构 ， 负 责 政府 的 可 信 计 算 机 计划 。 
目前 ， 该 中 心 评估 商用 保密 产品 〈 软 件 和 硬件 )， 发 起 并 公布 研究 ， 开 发 技术 指南 ， 通 常 还 
提供 这 方面 的 建议 、 支 持 和 培训 。 

NCSC 出 版 了 小 有 名 气 的 “ 橘 皮 书 ”ss 。 该 书 真 正 的 书 名 是 《Department of Defense Trusted 
Computer System Evaluation Criteria) (国防 部 可 信 计 算 机 系统 评估 = 25-2 BMRB 
准则 ) 。 但 这 个 书 名 太 长 了 ， 而 该 书 的 封面 是 橘 色 ， 因 而 称 为 橘 皮 书 。 D 最 低 安全 
橘 皮 书 尝试 定义 安全 要 求 ， 给 计算 机 生产 商 一 种 客观 的 方法 来 衡量 其 C: 随意 保护 
系统 的 安全 性 ， 并 指导 他 们 按照 一 定 的 准则 来 建立 他 们 的 保密 产品 。 Cl: 随意 安全 保护 


它 着 重 于 计算 机 安全 而 非 密码 学 。 C2: 控制 访问 保护 
桥 皮 书 将 安全 保护 主要 划分 为 4 种 。 另 外 还 对 其 中 一 些 进行 了 保 h AD 
护 分 类 ， 见 表 25-2. Bl: 标记 安全 保护 


有 时 ， 制 造 商会 说 “我 们 具有 C2 级 安全 ”之 类 的 话 ， 指 的 aii 
就 是 上 面 的 划分 。 有 关 这 方面 更 详细 的 内 容 ， 请 阅读 文献 


[1365]。 在 这 些 标准 中 应 用 的 计算 机 安全 模块 称 为 Bell-LaPadula ^ SAP 
fet pel t0o.t01.102.103]) O OAL 验证 设计 
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NCSC 已 经 出 版 了 一 整套 有 关 计 算 机 安全 的 系列 从 书 ， 有 的 称 为 “彩虹 从 书 ”( 因 
为 所 有 封皮 的 颜色 各 不 相同 )， 这 些 书 分 别 讨论 计算 机 安全 的 某 个 方面 。 如 Trusted 
Network Interpretation of the Trusted Computer System Evaluation Criter ia (可 信 计 算 机 系 
统 评价 准则 的 可 信和 网 络 解释 )""“ i 。 有 的 称 为 “红皮书 ”， 它 就 网 络 和 网 络 设备 解释 桶 
皮 书 。Trusted Database Management System Interpretation of the Trusted Computer Sys- 
tem Evaluation Criteria( 可 信 计 算 机 系统 评价 准则 的 可 信和 数据 库 管理 系统 解释 ) "|。 
(我 其 至 不 能 描述 封面 的 颜色 ) 对 数据 库 做 同样 的 事情 。 目 前 ， 这 类 丛书 共有 30 A, 
有 些 封面 的 颜色 令 人 讨厌 。 

要 获得 一 整套 彩虹 丛书 ， 请 与 以 下 地 址 联系 : Director，National Security Agency, 
INFOSEC Awareness, C81, 9800 Savage Road, Fort George G. Meade, MD 20755-6000; 
电话 : (410) 7668729. 

不 要 告诉 他 们 是 我 说 的 。 


25.3 国家 标准 技术 所 


国家 标准 技术 所 (NIST) 是 美国 商业 部 下 属 的 一 个 部 门 ， 以 前 叫做 国家 标准 局 
(NBS), 1988 年 改 为 现在 这 个 名 。NIST 通过 它 的 计算 机 系统 实验 室 (CSL) 促进 开放 标准 
和 互 操作 性 ， 希望 以 此 刺激 计算 机 产业 的 经 济 发 展 。 为 实现 这 个 目的 ， 它 颁布 标准 和 指南 ， 
以 期 被 美国 所 有 计算 机 系统 采纳 。 官 方 标准 作为 FIPS 出 版 物 出 版 。 

如 果 你 想 索 取 任 何 FIPS (或 任何 其 他 NIST 出 版 物 ) 的 副本 ,请 与 下 面 地 址 联系 : 
National Technical information Service (NTIS), U.S. Department of Commerce, 5285 Port Royal 
Road, Springfield, VA 22161; 电话 : (703)487-4650; 或 访问 : //csrc. nesl. nist. gov. 

1987 年 ， 国 会 通过 了 计算 机 安全 法 案 ， 责成 NIST 制订 标准 ， 以 保证 政府 计算 机 系统 
中 敏感 但 非 密 信 息 的 安全 。( 机 密 信息 和 Warner Amendment 数据 属于 NSA 管辖 范围 。) 该 
法 案 授权 NIST 可 与 其 他 政府 机 构 和 私人 产业 共同 评估 提出 的 技术 标准 。 

NIST 颁布 密码 使 用 方面 的 标准 ， 要 求 美国 政府 机 构 对 敏感 但 非 密 的 信息 使 用 这 些 标 
准 。 通 常 ， 私 营 产 业 也 采用 这 些 标准 ，NIST RAT DES, DSS, SHS 和 EES. 

所 有 这 些 算法 都 是 在 NSA 的 帮助 下 开发 的 ， 从 分 析 DES 到 设计 DSS, SHS 以 及 在 
EES 中 采用 的 Skipjack 算法 。 有 人 批评 NIST 让 NSA 对 这 些 标准 拥有 太 多 的 控制 权 ， 

因为 NSA 的 利益 与 NIST 的 某 些 利益 可 能 不 一 致 。NSA 对 这 些 算法 设计 和 开发 的 实际 
影响 有 和 多大， 人 们 并 不 清楚 。 考 虑 到 NIST 在 人 员 、 财 力 和 资源 上 的 限制 ，NSA 的 卷 
人 可 能 是 无 可 指责 的 ， 因 为 NSA 可 以 使 用 大 量 的 资源 ， 它 在 计算 机 设施 上 几乎 无 人 
可 比 。 
这 两 个 机 构 之 间 的 官方 “谅解 备忘录 ”(MOU) 写 道 


根据 公共 法 律 100~235 条 之 规定 国家 标准 技术 所 所 长 
与 国家 安全 局 局 长 之 间 的 谅解 备忘录 

承认 

(1) 根据 1987 年 计算 机 安全 法 案 第 2 部 分 (公共 法 律 100~ 一 235)， 国 家 标准 
技术 所 (NIST) 在 联邦 政府 中 对 下 述 方面 负 有 责任 : 

(a) 开发 技术 、 管 理 、 物 理 和 行政 管理 标准 及 指南 ， 用 于 该 法 案 定 义 的 联邦 计 
算 机 系统 中 的 敏感 信息 的 成 本 -效果 核算 安全 和 保密 。 

(b) 在 这 方面 适当 借鉴 国家 安全 局 (NSA) 的 计算 机 系统 技术 安全 指南 。 
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(2) 在 该 法 案 的 第 3 部 分 ，NIST 将 与 其 他 机 构 和 办 公 室 ， 包 括 NSA 密切 协 
作 ， 以 确保 : 

(a) 最 大 限度 地 利用 所 有 与 计算 机 系统 安全 和 保密 有 关 的 现 有 计算 机 中 的 程 
序 、 材 料 、 研 究 和 报告 ， 以 避免 不 必要 的 且 耗 资 的 重复 劳动 。 

(b) 在 该 法 案 下 ， 由 NIST 开发 的 标准 以 最 大 的 灵活 性 满足 并 兼容 有 关联 邦 计 
算 机 系统 中 机 密 信息 保护 的 标准 和 程序 。 

(3) 在 该 法 案 下 ， 商 务 部 长 授权 NIST 所 长 任命 计算 机 系统 安全 和 保密 顾问 委 
员 会 的 成 员 ， 其 中 至 少 有 一 位 应 来 自 NSA。 

因此 ， 在 该 谅解 备忘录 (MOU) 宗旨 的 推动 下 ，NIST 所 长 和 NSA 局 长 由 此 
达成 下 述 协议 。 

1. NIST。 

(1) 将 任命 计算 机 安全 和 保密 顾问 委员 会 ， 其 中 至 少 一 名 代表 由 NSA 局 长 
任命 。 

(2) 在 一 定 程度 上 吸收 NSA 开发 的 计算 机 系统 技术 安全 指南 ， 其 程度 由 
NIST 决定 ， 这 些 指南 要 与 联邦 计算 机 系统 中 的 敏感 信息 保护 要 求 一 致 。 

(3) 承认 NSA 在 可 信 计 算 机 安全 评估 准则 程序 下 对 已 评估 可 信 系 统 证 明 合 格 
的 评定 ， 不 要 求 另 外 评估 。 

(4) 开发 电信 安全 标准 以 保护 敏感 但 非 密 的 计算 机 数据 ， 尽 可 能 最 大 限度 地 吸 
收 NSA 的 经 验 和 产品 ， 及 时 满足 这 些 任 务 要 求 ， 并 做 到 成 本 -效果 核算 。 

(5) 尽 可 能 避免 重复 ， 与 NSA 相互 协商 以 寻求 NSA 的 支持 。 

(6) 请 求 NSA 在 所 有 与 密码 算法 和 密码 技术 相关 的 事情 上 给 予 帮助 ， 包 括 但 
不 仅 限 于 研究 、 开 发 、 评 估 和 担保 等 方面 。 

2. NSA。 

d) 将 为 NIST 提供 可 用 于 成 本 -效果 核算 系统 中 的 可 信 技 术 、 电 信安 全 和 个 
人 识别 方面 的 技术 指南 ， 以 保护 敏感 计算 机 数据 。 

(2) 进行 或 发 起 可 信 技 术 、 电 信安 全 、 密 码 技术 和 个 人 识别 方法 的 研究 和 开发 
计划 。 

(3) 响应 NIST 要 求 在 所 有 与 密码 算法 和 密码 技术 相关 的 事情 上 给 予 帮助 ， 包 
括 但 又 不 仅 限于 研究 、 开 发 、 评 估 或 担保 的 请 求 。 

(4) 建立 标准 并 保证 产品 应 用 时 能 满足 10USC 第 2315 部 分 (Warner Amend- 
ment) 提 到 的 系统 安全 要 求 。 

(5) 根据 联 帮 机构 以 及 它们 的 承包 人 和 其 他 政府 所 办 实体 的 请 求 ， 对 威胁 联邦 
信息 系统 的 有 敌意 的 情报 进行 评估 ， 提 供 技术 援助 并 推荐 担保 的 应 用 产品 来 保证 系 
统 安 全 以 抵抗 威胁 。 

3. NIST 和 NSA, 

(1) 将 按照 该 法 案 第 6 (b) 部 分 的 规定 ， 共 同 考察 从 属于 NIST 和 NSA 的 计 
算 机 系统 的 安全 和 保密 的 机 构 计 划 。 

(2) 在 必要 时 交换 技术 标准 和 指南 ， 从 而 达到 该 法 案 的 目的 。 

(3) 尽 可 能 以 最 高 的 效率 共同 实现 该 备忘录 的 目的 ， 避 免 不 必 要 的 重复 劳动 。 

(4) 保持 一 种 不 断 进行 的 、 开 放 的 对 话 ， 以 保证 每 个 组 织 同时 保持 呈现 技术 和 
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发 布 影响 基于 计算 机 系统 中 的 自动 化 信息 系统 安全 。 

(5) 建立 一 个 技术 工作 小 组 ， 审 查 并 分 析 双 方 对 处 理 敏 感 或 其 他 非 密 信息 系统 
保护 感 兴趣 的 问题 。 该 小 组 将 由 6 个 联邦 雇员 组 成 ，NIST 和 NSA 各 选择 3 人 ， 
需要 时 可 增加 其 他 机 构 的 代表 。 问 题 可 由 NSA 信息 安全 副 局 长 或 NIST 副 所 长 提 
交 给 该 小 组 讨论 ， 或 者 经 他 们 同意 ， 由 该 小 组 提出 并 讨论 问题 。 在 NSA 信息 安全 
副 局 长 或 NIST 副 所 长 将 问题 提交 该 小 组 后 ， 该 小 组 将 以 进展 报告 和 深入 分 析 计 划 
的 形式 给 予 答 复 。 

(6) 每 年 交换 所 有 有 关 处 理 敏 感 或 其 他 非 密 信息 系统 保护 的 研究 和 开发 项 
目的 工作 计划 ， 包 括 保 护 数据 完整 性 和 可 用 性 的 可 信 技 术 、 电 信安 全 和 个 人 识 
别 方法 。 每 个 季度 交换 一 次 更 新 计划 ， 任 何 一 方 请 示 另 一 方 提供 计划 评述 时 均 
要 满足 要 求 。 

(7) 确保 该 技术 工作 组 在 评述 以 后 才能 公开 透露 所 有 涉及 将 要 开发 的 、 用 于 保 
护 联 邦 计算 机 系统 敏感 信息 的 技术 性 系统 的 安全 技术 方面 的 事情 ， 以 保证 美国 的 国 
家 安全 。 如 果 NIST 和 NSA 在 60 天 以 内 不 能 解决 这 样 一 个 问题 ， 那 么 任何 一 方 均 
可 选择 将 该 问题 往 上 提交 给 国防 部 和 商务 部 。 该 问题 也 可 通过 NSC 提交 给 总 统 解 
决 。 在 问题 得 到 解决 以 前 ， 不 能 采取 任何 行动 。 

(8) 当 NSA 和 NIST 达成 协议 后 ， 可 将 附加 的 可 操作 协议 以 附录 形式 列 入 该 


MOU 中 。 

4. 任何 一 方 在 书面 通知 6 个 月 之 内 可 选择 中 止 该 MOU， 该 MOU 必须 得 到 双 
方 签名 方 可 生效 。 

/签名 / 


RAYMOND G. KAMMER 

NIST 执行 所 长 ，1989 年 3 月 24 日 

W. O. STUDEMAN 

美国 海军 准将 ，NSA ÁK. 1989 #3 A 23 8 


25.4 RSA 数据 安全 有 限 公 司 


RSA 数据 安全 有 限 公司 CRSADSD 成 立 于 1982 年 ， 主 要 开发 RSA 专利 产品 ， 颁 发 许 
可 证 书 并 销售 RSA 专利 产品 。 它 有 一 些 商 用 产品 ， 包 括 独 立 的 E-mail 保密 软件 包 和 各 种 密 
码 库 (以 源 代码 和 目标 代码 两 种 形式 提供 )。RSADSI 也 销售 RC2 和 RC4 对 称 算法 (参见 
11.8 节 )。RSA 实验 室 提供 密码 学 方面 的 咨询 服务 。 

如 对 其 专利 或 产品 感 兴趣 ， 可 与 下 述 地 址 联系 : RSA Data Saecurity, Inc., 100 Marine 
Parkway，Redwood City，CA 94065; 电话 (415) 595-8782; 传真 : (415) 595-1873 


25.5 公开 密 钥 合作 商 

K 25-3 中 的 5 项 专利 是 由 加 州 Sunnyvale 公开 密 钥 合作 商 (PKP) 所 掌握 ， 这 个 组 织 
RSADSI 和 Caro-Kahn 公司 一 一 Cylink 的 母 公司 的 联盟 。( 其 中 RSADSI 获得 利润 的 65%, 
Caro-Kahn 获得 35%.) 他 们 声称 ， 这 些 专利 ， 特 别 是 4218582 号 专利 ， 都 可 应 用 于 公开 密 
钥 密码 学 的 所 有 应 用 。 
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R 25-3 ”公开 密 钥 合作 商 的 专利 





k 利 号 H 期 发 明 人 专利 包括 
4200770 1980 年 4 月 29 日 Hellman, Diffie, Merkle Diffie-Hellman 密 钥 交 换 
4218 582 1980 4 8 H 19 H Hellman, Merkle Merkle-Hellman 背包 
4 405 829 1983 4 9 H 20 H Rivest, Shamir, Adleman RSA 
4 424 414 1984 年 3 月 3 日 Hellman、 Pohlig Pohlig-Hellman 
4 995 082 1991 4482 H 19H Schnorr Schmorr 签名 


在 文献 [574] 中，PKP 写 道 : 


x LEA] (4844) 4200770, 4218582, 4405829, 4424414) 涉及 所 有 实现 
公开 密 钥 技术 的 已 知 方法 ， 包 括 各 种 统称 为 ElGamal 的 方法 。 

由 于 RSA 数字 签名 在 国际 上 被 广泛 接受 ， 所 以 公开 密 钥 合 作 商 坚决 向 数字 签 
名 标准 靠拢 。 我 们 向 所 有 有 利害 关系 的 各 方 保证 ， 公 开 密 钥 合 作 商 将 遵循 ANSI 和 
IEFE 有 关 获 得 应 用 这 一 技术 的 许可 证 方面 的 所 有 政策 。 特 别 是 ， 在 支持 可 能 被 采 
纳 的 任何 RSA 签名 标准 方面 ， 公 开 密 钥 合 作 商 保证 ， 在 合理 的 情况 和 条 件 下 ,在 
无 歧视 性 的 基础 上 ， 应 用 RSA 签名 的 许可 证 将 是 可 以 获得 的 。 


上 述 这 段 话 是 否 真 实 取决 于 谈话 的 对 象 。PKP 的 许可 证 大 多 数 一 直 是 保密 的 ， 因 此 没 
有 办 法 审查 这 些许 可 证 是 否 是 标准 的 。 尽 管 他 们 声称 他 们 从 来 没有 否认 过 任何 人 的 许可 证 ， 
但 至 少 有 两 个 公司 的 许可 证 被 否认 过 。PKP 牢 牢 地 保护 它 的 专利 ， 任 何人 如 果 企 图 使 用 无 
许可 证 的 公开 密 钥 密码 学 将 受到 PKP 的 威胁 。 在 某 种 程度 上 讲 ， 这 是 美国 专利 法 的 使 然 。 
如 果 你 掌握 了 一 项 专利 ， 但 却 没 有 对 侵犯 专利 的 行为 进行 起 诉 ， 那 么 你 就 可 能 失去 你 的 专 
利 。 关 于 这 些 专利 是 否 合法 一 直 说 法 颇 多 ,但 到 目前 为 止 ， 还 只 是 谈论 而 已 。 所 有 合法 的 对 
PKP 专利 的 挑战 在 判决 前 就 已 达成 协议 。 

在 本 书 中 ， 我 不 准备 对 法 律 问 题 做 出 评论 。 也 许 RSA 专利 在 法 庭 上 将 不 会 继续 有 效 ， 
也 许 这 些 专利 并 未 应 用 于 全 部 的 公开 密 钥 密码 学 ， 也 许 有 人 最 终 将 赢得 对 PKP 或 RSADSI 
的 诉讼 。 但 是 ， 必 须 记 住 ， 那 些 拥有 自己 法 律 部 门 的 大 公司 ， 如 IBM, (hak. ZEAE. R., 
网 威 、Digital、 国 家 半导体 、AT&T 和 Sun 等 都 获得 了 在 其 产品 中 应 用 RSA 的 许可 证 ， 而 
不 是 在 法 庭 上 与 之 对 抗 。 此 外 ,， 波音、 壳牌 、 杜 邦 Raytheon 和 CitiCorp 公司 也 获得 了 内 部 
使 用 RSA 的 许可 证 。 

在 最 近 的 一 场 诉 讼 案 中 ，PKP 起 诉 TRW 公司 无 许可 证 使 用 ElGamal 算法 。TRW 声 
称 ， 他 们 不 需要 许可 证 。PKP 和 TRW 于 1992 年 6 月 达成 调解 ， 调 解 的 详细 内 容 不 清楚 ， 
但 TRW 同意 申请 专利 许可 证 。 这 并 不 预示 前 景 看 好 。TRW 能 够 支付 请 名 律师 的 费用 ， 而 
我 只 能 假设 ， 如 果 他 们 认为 不 需要 花 那 么 多 钱 就 能 打 赢 这 场 官 司 ， 那 么 他 们 肯定 会 奋起 
抗争 。 

同时 ，PKP 内 部 也 存在 问题 。1994 年 6 月 ，Caro-Kahn 控告 RSADSI 宣称 RSA 专利 无 
效 及 不 可 执行 ”“” 。 两 位 合作 商都 试图 结束 其 合作 关系 。 专 利 究竟 是 否 有 效 ? 用 户 是 否 必须 
向 CaroKahn 提出 申请 许可 证 以 使 用 RSA 算法 ? HELE Schnorr 专利 的 所 有 人 ? 本 书 出 版 时 该 
问题 可 能 已 得 到 解决 。 

专利 的 有 效 时 间 只 有 17 年 ， 并 不 再 延期 。1997 年 4 月 29 日 ，Diffie-Hellman 密 钥 交 换 
(以 及 ElGamal 算法 ) 公开 。 到 2000 年 9 月 20 H, RSA 将 为 公众 使 用 。 
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25.6 国际 密码 研究 协会 

国际 密码 研究 协会 (IACR) 是 世界 性 的 密码 研究 组 织 。 其 宣扬 的 宗旨 是 促进 密码 学 及 
相关 领域 的 理论 及 实践 的 发 展 。 会 员 资格 对 任何 人 都 是 开放 的 ， 该 协会 主办 两 种 年 度 会 议 ， 
即 美洲 密码 学 年 会 和 欧洲 密码 学 年 会 ， 并 出 版 《The Journal of Cryptology) # KIACR 
Newsletter》 两 种 刊物 。 

IACR 商务 办 公 室 地 址 随 其 总 裁 的 变化 而 变化 。 目 前 的 地 址 是 : 

IACR Business Office, Aarhus Science Park, Gustav Wieds Vej 10, DK-8000 Aarhus 
C, Denmark, 


25.7 RACE 完整 性 基本 评估 

欧洲 高 级 通信 技术 研究 与 开发 (RACE) 计划 是 由 欧 共 体 发 起 的 ， 旨 在 支持 通信 标准 和 
技术 方面 的 先导 性 竞争 和 规范 工作 ， 以 支持 综合 宽带 通信 (IBC)。 作 为 这 项 工作 的 一 部 分 ， 
RACE 成 立 了 RACE 完整 性 基本 评估 (RIPE)， 它 通过 集成 现 有 的 技术 来 满足 IBC 的 安全 
要 求 。 

欧洲 6 个 领先 的 密码 研究 小 组 组 成 了 RIPE 集团 ， 它 们 分 别 是 : 阿姆斯特丹 数字 及 计算 
机 科学 中 心 、 西 门 子 AC、 飞 利 浦 密码 机 Crypto BV: Royal PPT Nederland NV, PTT 
Rearch, Katholieke Universiteit Leuven; Aarhus Universitet, H 1989 年 和 1991 年 征集 算 
法 以 后 ， 从 世界 各 地 收 到 32 个 提议 ， 在 经 过 350 个 人 月 的 评估 后 ， 该 集团 出 版 了 《RIPE 
Integrity Primi tives)"°°) 。 该 报告 包括 一 个 引言 、 一 些 基 本 的 完整 性 概念 和 下 述 这 些 原 
函数 : MDCC-4 (参见 18.11 节 )、RIPE-MD (参见 18.8 节 )、RIPE-MAC (参见 18. 14 
3), IBC-HASH, SKID (参见 3.2 节 )、RSA、COMSET (参见 16.1 节 ) 和 RSA 3% 4H 
产生 。 


25.8 对 欧洲 的 有 条 件 访问 

对 欧洲 的 有 条 件 访 问 〈CAFE) 是 欧 共 体 ESPRIT 项 目 中 的 一 个 工程 2 。 工 作 开始 
F 1992 年 12 月 ， 计 划 于 1995 年 年 底 结束 。 有 关 的 协会 包含 社会 与 市 场 研究 组 织 ( 如 Card- 
Ware, Institute für Sozialforschung)、 软 硬件 制造 商 〈( 如 DigiCash, Gemplus, Ingenico 西 
门 子 ) 和 密码 学 组 织 (如 CWI Amsterdam, PTI Research Netherlands, SPET, Sintef 
Delab Trondheim, Universities of Århus Hildesheim and Leuven), 

工程 的 目标 是 开发 对 欧洲 有 条 件 访问 系统 ， 特 别 是 数字 支付 系统 。 支 付 系统 必须 一 直 为 每 
个 人 提供 合法 的 确认 ， 要 求 信 任 关系 尽 可 能 少 一 一 这 种 确认 并 不 依赖 于 任何 设备 的 防臭 改 。 

CAFE 的 基本 设备 是 电子 钱包 : 一 个 看 起 来 类 似 计 算 器 的 小 计算 机 。 它 具备 电池 、 键 
盘 、 屏 幕 ， 以 及 与 其 他 钱包 通信 的 红外 线 通道 。 每 一 个 用 户 拥 有 和 使 用 自己 的 钱包 以 管理 自 
己 的 权益 ， 保 证 自己 的 安全 。 

拥有 键盘 和 屏幕 的 设备 比 智能 卡 更 具 优势 ， 它 可 以 独立 于 终端 进行 操作 。 用 户 可 以 直接 
输入 口令 和 款额 。 不 像 当 前 采用 的 信用 卡 ， 用 户 不 需要 给 出 钱包 来 完成 交易 。 

该 系统 还 具有 以 下 特点 : 

。 离线 交易 。 系 统 的 目的 是 替代 小 额 现金 交易 ， 而 在 线 系统 十 分 不 方便 。 

。 损失 容忍 性 。 如 果 用 户 丢失 了 自己 的 钱包 ， 或 者 损坏 、 失 窍 ， 他 仍 可 以 得 到 自己 

的 钱 。 
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。 支持 不 同 的 流通 方式 。 

。 开放 的 体系 结构 和 开放 的 系统 。 用 户 能 够 在 任意 服务 中 进行 支付 ， 如 由 各 个 服务 商 
提供 的 购物 、 电 话 、 公 共 运 输 等 服务 。 该 系统 可 以 在 任何 电子 货币 发 行商 ， 以 及 不 
同 的 钱包 类 型 和 制造 商 中 使 用 。 

。 低 成 本 。 

该 系统 已 有 软件 版 本 ， 联 盟 正 在 努力 开发 硬件 原型 。 


25.9 ISO/IEC 9979 


20 世纪 80 年 代 中 期 ，ISO 打算 使 那 时 已 是 FIPS 和 ANSI 标准 的 DES 算法 标准 化 。 经 
过 一 些 政治 上 的 辩论 后 ，ISO 决定 不 再 对 密码 算法 进行 标准 化 ， 改 为 算法 注册 。 仅 有 加 密 算 
法 能 够 注册 ， 散 列 函 数 和 签名 方案 不 需要 。 任 何 国家 实体 均 可 递交 算法 以 注册 。 

到 目前 为 止 只 递交 了 3 个 算法 ， 见 表 25-4。 递 交 文 件 包含 应 用 、 参 量 、 执 行 、 方 式 以 及 
测试 向 量 等 资料 。 由 于 细节 描述 可 能 提供 注册 算法 的 秘密 ， 表 25-4 ISO/IEC 9979 注册 算法 





所 以 为 可 选项 。 名 K 注册 号 
实际 上 ， 算 法 注册 并 不 意味 它 的 质量 上 乘 ， 也 并 不 意味 BCRYPT 0001 

ISO/IEC 对 该 算法 的 认同 。 注 册 仅 仅 表示 一 个 国家 实体 在 a bane 

它 采用 的 标准 上 想 注册 算法 。 一: 
我 并 非 在 强调 这 个 观点 。 注 册 妨 碍 了 标准 化 的 进程 。ISO 允许 任何 算法 进行 注册 ， 而 不 


是 仅仅 同意 一 些 算法 。 由 于 在 注册 内 容 上 的 控制 不 力 ， 声 称 一 个 算法 经 “ISO/IEC 9979 È 
册 ” 并 不 如 它 听 起 来 那么 好 。 无 论 如 何 ， 英 国 国 家 计算 机 中 心 坚持 算法 注册 。 


25.10 WAR. 公民 自由 和 工业 组 织 


25. 10. 1 电子 秘密 信息 中 心 


电子 秘密 信息 中 心 (EPICO 成 立 于 1994 年 ， 在 公布 秘密 出 版 物 方面 引 人 注 目 ， 这 
些 出 版 物 与 国家 信息 基础 设施 有 关 ， 如 Clipper 密码 芯片 、 数 字 电话 建议 、 国 家 识别 号 
和 系统 、 医 疗 记 录 的 秘密 以 及 消费 者 的 销售 数据 等 。EPIC 指导 诉讼 、 主 办 会 议 、 产 品 
报告 、 出 版 EPIC Alert 并 且 领 导 针 对 秘密 出 版 物 的 活动 。 任 何 有 兴趣 参加 的 人 可 与 下 
列 地 址 联系 : Electronic Privacy Informmtion Center, 666 Pennsylvania Avenue SE, Suit 
301, Washington, D.C. 20003; 电话 (202) 544-9240; 传真 : (202) 547-5482; E-mail: 
info@epic. org 


25.10.2 ”电子 战线 基金 会 


电子 战线 基金 会 (EFF) 是 在 计算 机 领域 保护 公民 权利 的 社会 性 团体 。 对 于 美国 的 密码 
政策 ， 他 们 相信 了 解 和 使 用 密码 是 人 们 的 基本 权利 ， 因 此 不 应 受 政 府 的 限制 。 他 们 组 织 了 数 
字 保 密 和 安全 工作 组 ， 由 50 个 组 织 组 成 ， 该 工作 组 成 功 地 推翻 了 数字 电话 倡议 ， 并 正 致力 
于 反对 Clipper 倡议 。EFF 也 正在 推动 法 律 诉讼 反对 对 密码 出 口 的 控制 1。 

任何 有 兴趣 加 入 EFF 的 人 都 可 与 下 面 地 址 联系 : Electronic Frontier Foundation，1001 
G Street NW, Suite 950E, Washington D. C. 20001; 电话 : (202) 34-5400; 传真 (202) 
393-5509; E-mail: eff@eff. org 
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25. 10. 3 ”计算 机 协会 


计算 机 协会 (ACM) 是 国际 性 的 计算 机 工业 组 织 。1994 年 美国 ACM 公众 政策 委员 会 
就 美国 密码 政策 发 表 了 一 篇 优秀 的 报告 。 任 何 对 密码 政策 感 兴 趣 的 人 都 应 该 读 一 读 该 报告 。 
它 可 通过 匿名 ftp ab N tines ps 的 info. acm. org 获得 。 


25. 10.4 电气 和 电子 工程 师 学 会 


电气 和 电子 工程 师 学 会 (IEEE) 是 另 一 个 专业 组 织 。 美 国 办 事 处 就 与 秘密 相关 的 论点 
(如 加 密 政策 、 身 份 识别 码 以 及 互联 网 的 安全 防护 ) 做 出 调查 和 建议 。 





25. 10.5 软件 出 版 商 协会 


软件 出 版 商 协会 (SPA) 是 一 个 商业 协会 ， 包 括 超过 1000 家 个 人 计算 机 软件 公司 。 他 
们 为 放宽 密码 出 口 限制 而 游说 ， 并 支持 一 系列 的 外 国 商用 密码 产品 。 


25. 11 sci. crypt 


sci. crypt 是 指 因特网 中 的 密码 学 新 闻 组 ， 估 计 世 界 上 有 超过 10 万 的 人 阅读 。 大 多 数 邮 
件 是 无 意义 的 、 富 有 争论 性 的 ， 或 两 者 兼 而 有 之 ， 有 些 是 政治 性 的 ， 其 他 大 多 是 对 信息 或 基 
本 问题 的 请 求 ， 偶 尔 有 一 些 有 价值 的 新 的 有 用 的 信息 。 如 果 你 定期 阅读 sci. crypt， 你 将 学 
会 怎样 使 用 称 为 “删除 文件 ”的 东西 

另 一 个 新 闻 组 是 sci. crypt. research， 一 个 致力 于 讨论 密码 人 研究 的 中 等 新 闻 组 。 极 少 有 
邮件 发 表 但 更 引 人 注 意 。 


25.12 Cypherpunks 


Cypherpunks 是 由 那些 对 密码 学 的 教育 和 学 习 有 兴趣 的 人 组 成 的 一 个 非 正 式 团体 ， 他 们 
也 进行 密码 学 试验 并 试图 投入 使 用 。 他 们 的 看 法 是 ， 如 果 得 不 到 使 用 ， 世 界 上 所 有 的 密码 研 
究 都 不 会 给 社会 带 来 任何 好 处 。 

在 “Cypherpunks 宣言 ”中 ，Eric Hughes 53". 


我 们 Cypherpunks 致力 于 建立 匿名 系统 。 我 们 采用 密码 、 匿 名 邮件 系统 、 数 
字 签 名 和 电子 钱包 保护 我 们 的 秘密 。 
Cypherpunks 编写 代码 。 我 们 知道 有 些 人 编写 软件 以 保护 私人 秘密 ， 除非 我 们 
一 起 做 ,否则 毫 无 秘密 可 言 ， 所 以 我 们 编写 代码 。 我 们 公布 我 们 的 代码 ， 这 样 
Cypherpunks 的 成 员 可 以 实践 并 完善 它 。 我 们 的 代码 全 世界 免费 使 用 。 我 们 并 不 关 
心 您 是 否 先 同 我 们 编写 的 软件 。 我 们 知道 软件 不 会 被 破坏 ， 大 范围 的 分 散 系 统 不 会 
AR. 


有 兴趣 加 入 Cypherpunks 的 人 可 发 电子 邮件 到 majordomo@ toad. com。 邮 件 列表 存档 
于 /pub/cypherpunks 的 ftp. csua. berkeley. edu。 
25. 13 专利 


软件 专利 问题 的 讨论 大 大 超越 了 本 书 的 范围 。 无 论 它们 是 好 是 坏 ， 它 们 都 存在 。 各 种 算 
法 ,包括 密码 算法 在 美国 都 可 取得 专利 ，IBM 拥有 DES SPIGA ALO. IDEA 也 取得 了 
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专利 。 几 乎 每 一 种 公开 密 钥 算法 都 取得 了 专利 权 ，NIST 甚至 为 DSA 申请 专利 。 在 1940 年 
的 发 明 保密 法 案 和 1947 年 的 国家 保密 法 案 的 授权 之 下 ， 由 于 NSA 的 干涉 ， 有 些 密码 专利 已 
经 被 封闭 起 来 。 这 意味 着 尽管 有 专利 ， 发 明 者 也 必须 遵守 秘密 ， 禁 止 和 任何 人 讨论 他 的 
发 明 。 

NSA 对 专利 有 特殊 的 管理 体系 。 他 们 先 申请 使 用 专利 ， 然 后 封闭 不 以 公开 。 这 也 是 一 
条 保密 法 令 ， 只 是 NSA 既是 发 明 者 又 是 命令 的 颁布 者 。 后 来 ， 当 保密 法 令 取消 时 ， 专 利 局 
颁布 了 专利 17 年 有 效 的 规定 。 这 在 保密 的 同时 无 疑 地 保护 了 发 明 。 如 果 其 他 人 发 明了 同样 
的 东西 ，NSA 早已 将 专利 存档 。 如 果 没 有 人 人 发明， 那么 它 将 仍然 是 保密 的 。 

专利 程序 是 既 要 公开 又 要 保护 发 明 者 ， 这 样 做 不 仅 公 然 违背 了 专利 程序 ， 而 且 它 允许 
NSA 保持 一 项 专利 超过 17 年 。 这 17 年 的 时 间 由 专利 发 布 而 非 存档 开始 计算 。 虽 然 美 国 已 
经 认可 了 关 贸 总 协定 ， 但 什么 时 候 改变 并 不 清楚 。 

现在 有 许多 公开 密 钥 密码 专利 。 第 一 项 公开 密 钥 专利 是 在 1980 年 授予 Hellman-Diffie 
和 Merkle 的 。1980 年 的 另 一 项 专利 是 Merkle-Hellman 背包 。RSA 专利 是 1983 年 颁布 的 ， 
Pohlig-Hellman 专利 是 1984 年 颁布 的 。 


25. 14 美国 出 口 法 规 

根据 美国 政府 的 规定 ， 密 码 属 于 军用 品 ， 这 意味 着 它 与 TOW 导弹 或 F-16 战斗 机 一 样 ， 
受 同样 的 法 规制 约 。 如 果 向 海外 出 售 密码 而 无 合适 的 出 口 许可 证 ， 那 么 将 被 视 为 国际 军火 走 
私 ， 如 果 你 不 想 在 联邦 监狱 里 待 上 一 段 时 间 从 而 给 你 的 历史 抹 上 一 笔 的 话 ， 那 么 就 请 你 留心 
那些 法 规 。 

随 着 1949 年 冷战 时 期 的 到 来 ， 所 有 北约 国家 〈 除 冰岛 ， 及 后 来 的 澳大利亚 、 日 本 、 西 
班 牙 组 成 了 巴 统 (CoCom)， 即 多 边 出 口 控制 统筹 委员 会 。 这 是 一 个 非 官 方 无 条 约 的 组 织 ， 
对 向 苏联 、 华 约 国家 以 及 中 国 出 口 的 敏感 军事 技术 进行 协调 和 限制 。 被 控 技术 的 例子 ， 如 计 
算 机 、 铣 床 和 密码 技术 。 目 的 是 减缓 这 些 国 家 的 技术 转化 ， 使 其 军事 力量 处 于 较 低 水 平 。 

冷战 结束 后 ，CoCom 发 现 他 们 的 控制 政策 中 很 多 已 经 过 时 ， 他 们 正定 义 另 一 个 称 为 
“新 论坛 ”的 多 国 组 织 ， 以 阻止 军事 技术 向 他 们 不 喜欢 的 国家 流传 。 

无 论 如 何 ， 美国 战略 物资 出 口 政策 由 出 口 管理 法 案 、 武 器 出 口 控制 法 案 、 原 子 能 法 案 以 
及 非 增 长 核武 器 法 案 等 明确 规定 。 所 有 这 些 立 法 制定 的 控制 行为 通过 很 多 法 令 实 施 ， 它 们 之 
间 互 不 调和 。 包 括 军 事 服 务 管理 在 内 的 许多 机 构 ， 他 们 的 调节 程序 常常 交 秋 矛盾。 

受 控 技术 出 现在 很 多 清单 上 。 加 密 软件 一 直 被 认为 是 军需 品 加 以 保密 ， 出 现在 美国 军需 
品 清单 (USML)、 国 际 军需 品 清单 (IML)、 商 业 控 制 清单 (CCL) 和 国际 工业 产品 清单 
(IIL) 。 国 务 院 负责 管理 USML， 它 被 认为 是 军火 国际 贸易 法 规 ATAR) WRR, 

有 两 个 政府 机 构 控 制 加 密 软 件 的 出 口 。 一 个 是 商业 部 的 出 口 管理 局 (BXA)， 由 出 口 管 
理 法 (EAR) 授权 。 另 一 个 是 国务 院 的 国防 贸易 控制 (DTC) 办 公 室 ， 由 国防 贸易 法 授权 。 
粗略 地 看 ， 商 业 部 的 BXA 没有 那么 多 细节 性 要 求 ， 但 DTC (接受 并 一 贯 服从 来 自 NSA 的 
命令 ) 总 想 要 最 先 了 解 所 有 的 密码 出 口 产品 ， 并 拒绝 将 管辖 权 移 交 给 BXA。 

ITAR 对 此 有 详细 规定 (1990 年 以 前 ， 国 防 贸 易 控 制 办 公 室 习 惯 上 称 为 军用 品 控制 办 
公 室 ， 这 听 起 来 好 像 只 是 一 个 庞大 的 公共 关系 部 门 ， 实 际 上 是 让 人 们 忘记 我 们 正在 与 军火 打 
交道 )。 历 来 ，DTC 一 直 不 愿意 为 高 于 特定 密级 的 加 密 产 品 颁发 出 口 许可 证 ， 而 且 他 们 并 不 
公开 这 种 密级 究竟 是 多 少 。 

以 下 部 分 摘自 ITAR, 
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。 120.10 技术 数据 

本 节 所 指 的 技术 数据 是 指 : 

d) 设计 、 开 发 、 生 产 、 加 工 、 制 造 、 组 装 、 操 作 、 人 和 修理、 维护 或 修改 国防 商 
品 所 需要 的 ， 如 120. 10(d) 中 定义 的 那些 信息 而 非 “ 软 件 ”。 包 括 如 蓝图 、 草 图 、 
有 照片、 计划 、 指 令 和 文献 等 各 种 形式 的 信息 。 

(2) 与 国防 产品 和 国防 业务 有 关 的 机 密 信 息 。 

(3) 发 明 保密 令 涉 及 的 信息 。 

(4) 第 121.8(f) 部 分 定义 的 、 直 接 与 国防 产品 有 关 的 软件 。 

(5) 这 个 定义 不 包括 120. 11 公共 领域 中 定义 的 在 学 校 、 院 校 和 大 学 普通 教授 
的 一 般 性 的 科学 、 数 字 或 工程 原理 方面 的 信息 ， 也 不 包括 有 关 国 防 产品 的 功能 目的 
或 一 般 性 系统 描述 的 基本 市 场 信 息 。 

e 120.11 公共 领域 

公共 领域 是 指 已 经 出 版 的 ， 公 众 可 在 下 述 方面 访问 或 可 获得 的 信息 : 

C1) 通过 报刊 或 书店 的 出 售 物 。 

(2) 通过 可 以 获得 的 、 对 任何 想 获得 或 购买 出 版 信息 的 个 人 不 加 限制 的 订 
购物 。 

(3) 通过 美国 政府 批准 的 二 类 邮件 。 

(4) 在 向 公众 开放 的 图 书馆 或 从 公众 可 获得 文献 的 地 方 。 

(5) 通过 在 任何 专利 办 公 室 可 获得 的 专利 。 

(6) 通过 在 美国 公众 通常 可 以 访问 的 会 议 、 座 谈 、 专 家 讨论 会 、 贸 易 展 览 或 展 
示 上 的 未 限制 的 分 发 物 。 

(7) 通过 知名 的 美国 政府 部 门 或 机 构 同 意 后 ， 任 何 形式 (不 一 定 是 出 版 形式 ) 
的 公众 物品 〈 即 未 限制 的 分 发 物 ) (参见 125. 4(b) (13) BY). 

(8) 通过 已 授权 的 、 信 息 通常 已 公开 并 在 科学 团体 内 共享 的 美国 高 等 教育 研究 
所 的 基础 科学 研究 。 基 础 研究 是 指 在 科学 及 工程 领域 已 经 公开 或 共享 的 基本 应 用 研 
究 ， 区 别 于 因 所 有 权 原 因 或 特殊 的 受 美 国政 府 访问 和 分 发 控制 的 研究 。 大 学 研究 将 
在 以 下 情况 下 不 能 视 为 基础 研究 : 

Ci) 由 于 项 目 或 行为 的 原因 ， 大 学 或 其 研究 人 员 接 受 了 其 他 有 关 科 学 技术 公 
布 的 限制 。 

Ci) 研究 由 美国 政府 投资 ， 用 于 保护 研究 成 果 的 特殊 访问 和 分 发 是 可 用 的 。 

。 120.17 ku 

出 口 指 : 

(1) 以 任何 方式 从 美国 发 送 或 带 走 国防 产品 ， 了 解 技术 数据 的 个 人 在 国外 单纯 
旅行 的 情况 除外 ， 

(2) 将 美国 军用 品 清单 中 所 列 的 任何 飞行 器 、 舰 船 或 卫星 的 注册 、 控 制 或 所 有 
权 转 让 给 外 国人 人， 无论 是 美国 国内 还 是 国外 。 

(3) 在 美国 泄露 〈 包 括 口述 和 书面 泄露 ) 或 转让 任何 国防 产品 给 外 国政 府 的 大 
使 、 任 何 机 构 或 分 支 机 构 (如 外 交 使 团 )。 

(4) 在 美国 泄露 (包括 口述 和 书面 泄露 ) 或 转让 技术 数据 给 外 国人 ， 无 论 在 美 
国 国内 还 是 国外 。 

(5) 代表 某 个 外 国人 或 为 了 某 外 国人 的 利益 进行 某 项 国防 业务 ， 无 论 在 美国 国 
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内 或 国外 。 

(6) 运载 火箭 或 发 射 这 种 火箭 的 有 效 负荷 不 视 为 本 节 所 指 的 输出 ， 该 节 的 
数 规定 只 与 上 面 所 定义 的 出 口 条 款 有 关 。 但 是 ， 由 于 某 些 限制 性 目的 ， 该 节 的 控制 
应 用 于 该 节 的 国防 产品 和 国防 业务 的 销售 和 其 他 转让 (参见 126.1). 

第 121 部 分 一 一 美国 军用 品 清单 

。 121.1 通则 。 美 国 军 用 品 清单 

铬 类 一 一 辅助 军用 设备 

d) 有 能 力 支 持 信息 或 信息 系统 保密 和 机 密 性 的 密码 学 ( 含 密 钥 管理 ) AR, 
装备 、 部 件 、 模 块 、 集 成 电路 、 元 件 或 软件 ， 下 列 密 码 设备 和 软件 例外 : 

Ci) 用 于 允许 复制 被 保护 软件 的 特殊 设计 的 解密 函数 ， 用 户 不 能 访问 该 函数 。 

Ci) 为 用 于 银行 或 现金 交易 的 机 器 专门 设计 、 开 发 或 修改 的 用 途 ， 且 仅 限 于 
此 类 交易 。 银 行 或 现金 交易 机 器 包括 自动 点 钞 机 、 自 助 式 报 告 打 印 机 、 银 行内 部 交 
易 加 密 用 销售 终端 或 设备 。 

(出 ) 使 用 类 似 技 术 ， 为 确保 在 下 列 应 用 中 的 信息 安全 而 提供 密码 方法 …… 

CV) 仅 用 于 USML 控制 之 外 的 设备 或 系统 中 的 采用 了 密码 学 的 个 人 智能 卡 。 

CV) 限于 访问 控制 ， 如 自动 点 钞 机 、 自 助 式 报告 打印 机 、 销 售 终端 、 可 保护 
口令 、 个 人 身份 识别 码 (PIN) 或 类 似 数据 以 阻止 非法 访问 ， 但 并 不 加 密 文件 或 文 
本 ， 除 非 这 些 文件 或 文本 与 PIN 保护 的 口令 直接 相关 。 

(Vi) 限于 计算 消息 鉴别 码 (MAC) 或 类 似 结 果 的 数据 认证 ， 以 确保 文本 未 被 
笨 改 或 用 于 对 使 用 者 的 监 别 ， 但 对 用 于 鉴别 之 外 的 数据 、 文 本 或 其 他 媒介 不 予 
加 密 。 

(Vii) 限于 固定 数据 压缩 或 编码 技术 。 

VID 限于 接收 没有 数字 加 密 且 在 视频 、 音 频 和 管理 功能 上 不 能 进行 数字 解 
的 广播 、 付 费 电视 或 有 线 电视 。 

GX) 防止 计算 机 遭 蔷 意 破坏 (如 病毒 ) 而 设计 和 修改 的 软件 。 

(2) 有 能 力 为 扩 频 系统 或 设备 产生 扩 频 和 跳 频 代码 的 密码 软件 ( 含 密 钥 管理 ) 
系统 、 装 备 、 部 件 、 模 块 、 集 成 电路 、 元 件 或 软件 。 

(3) BERR. RE. RH. BR. SREB. AAR. 

。 125.2 非 密 技术 数据 的 出 口 

(a) 通则 。 非 密 技 术 数 据 的 出 口 要 求 国防 贸易 控制 办 公 室 颁发 的 许可 证 
(DSP-5)， 除 非 这 种 出 口 不 受 限于 本 节 有 关 颁 发 许可 证 方面 的 要 求 。 接 待 来 访 的 外 
国人 时 ， 准 备 讨 论 的 具体 细节 必须 递交 到 国防 贸易 控制 办 公 室 ， 对 技术 数据 进行 评 
价 。 必 须 提 供 7 个 技术 数据 副本 或 讨论 的 具体 内 容 。 

(b) 专利 。 技 术 数 据 的 出 口 要 求 国防 贸易 控制 办 公 室 颁发 的 许可 证 ， 只 要 这 
种 数据 超越 了 支持 国内 专利 应 用 归档 或 支持 国外 专利 应 用 归档 ， 而 没有 对 国内 应 用 
归档 的 时 候 。 在 国外 请 求 专利 应 用 归档 以 及 请 求 这 种 专利 的 修正 、 修 改 或 补遗 归档 
时 ， 应 遵循 美国 专利 和 商标 办 公 室 在 37 CFR 第 5 部 分 中 的 有 关 法 规 。 输 出 技术 以 
支持 国外 专利 应 用 归档 和 处 理应 遵循 美国 专利 和 商标 办 公 室 在 35 USC 184 中 颁布 
的 有 关 法 规 。 

(c) 泄露 。 除 非 该 节 表 明 可 以 免除 ， 否 则 当 美 国人 向 外 国人 以 口头 、 可 视 或 文 
件 形 式 泄露 技术 数据 时 ， 要 求 有 许可 证 。 无 论 以 何 种 方式 传递 技术 数据 〈 如 通过 电 
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话 、 通 信 、 电 子 方式 等 ) 均 要 求 许可 证 。 当 美国 人 在 与 外 国外 交 使 团 和 领事 馆 打 交 
道 时 ， 这 类 泄露 都 要 求 许 可 证 。 


诸如 此 类 。 在 这 个 文件 中 有 更 完整 、 更 多 的 信息 。 如 果 你 试图 出 口 密码 ， 我 建议 你 去 找 
一 本 完整 的 文件 和 了 解 这 方面 知识 的 律师 。 

实际 上 ，NSA 拥有 对 密码 产品 出 口 的 控制 权 。 如 果 你 想得到 出 口 许可 证 (CJ)， 你 必 
首先 将 其 产品 呈 交 NSA, NSA 通过 后 向 国务 院 呈 交 出 口 许可 证 申请 表 。 tg 
后 的 事情 就 属于 商业 部 管辖 ， 而 该 部 对 密码 出 口 决 不 过 多 干涉 。 但 是 ， 如 果 NSA 不 同意 ， 
那么 国务 院 决 不 会 通过 。 

1977 年 ， 根 据 官方 报道 一 个 名 叫 Joseph A. Meyer 的 NSA 雇员 越权 写 了 一 封 信 给 
IEEE， 警 告 他 们 按 计 划 发 表 原 始 RSA 论文 将 违反 ITAR。 以 下 摘自 The Puzzle Palace 
一 书 : 

他 有 一 种 观点 。ITAR 涉及 任何 “可 以 被 使 用 或 被 采纳 用 于 所 列 材料 的 设计 、 
生产 、 制 造 、 人 修理、 检修、 加 工 、 工 艺 、 开 发 、 操 作 、 维 护 或 再 构造 的 非 密 信息 ”， 
以 及 “任何 提高 美国 重大 军用 应 用 领域 的 现状 或 建立 新 技艺 的 技术 ”。 出 口 包括 以 
书面 和 口头 或 视觉 方式 传送 信息 ， 包 括 以 简报 和 论文 集 形式 提供 给 外 国 公民 。 

但 是 接 下 来 的 法 规 在 字面 上 含糊 不 清 ， 范 围 过 于 广泛 ， 似 乎 要 求 任 何人 在 准备 
公开 撰写 或 谈论 涉及 军用 品 清单 时 ， 首 先 必须 经 国务 院 同 意 一 一 这 种 让 人 寒心 的 前 
景明 显 与 第 一 修正 案 不 一 致 ， 这 种 法 规 还 没有 经 联邦 最 高 法 院 审 查 通过 。 


最 后 ，NSA 拒绝 对 Meyer 的 行为 承担 责任 ，RSA 论文 如 期 发 表 。 没 有 对 任何 发 明 者 采 
取 任 何 行动 ， 尽 管 人 们 议论 他 们 的 工作 极 大 地 增强 了 国外 密码 能 力 ， 而 不 仅 限 于 发 表 的 
东西 。 

下 面 是 NSA 就 有 关 密 码 出 口 的 声明 -3 : 

密码 技术 对 国家 安全 利益 极其 重要 。 这 包含 经 济 利益 、 军 事 利 益 和 对 外 政策 
我 们 不 赞同 众议院 司法 委员 会 1992 年 5 月 7 日 Se ow Ho HR OSG 

的 倾向 ， 报 道 声称 美国 出 口 法 阻碍 了 美国 企业 对 尖端 加 密 设 备 的 制造 和 使 用 。 我 们 

没有 听 说 过 任何 一 起 由 于 美国 出 口 限制 而 妨碍 美国 企业 在 本 国 制造 和 使 用 加 密 设 备 

或 者 国外 的 美国 企业 或 它 的 子 公司 使 用 加 密 设 备 的 事件 。 事 实 上 ，NSA 历来 支持 

在 国内 外 运营 的 美国 商业 企业 使 用 加 密 以 保护 敏感 信息 。 

对 于 向 国外 出 口 ，NSA 作为 国防 部 (以 及 国务 院 和 商业 部 ) 的 一 个 分 支 ， 审 

查 由 出 口 管理 法 或 国际 武器 贸易 法 控制 的 、 信 息 安全 技术 方面 的 出 口 许可 证 。 类 似 

的 出 口 控制 系统 在 所 有 多 边 出 口 控制 统筹 委员 会 即 巴 统 (CoCom) 成 员 国 以 及 许 

多 非 巴 统 国 家 有 效 ， 因 为 这 些 技术 被 普遍 视 为 敏感 技术 。 我 们 并 不 限制 这 类 技术 出 

口 ， 但 必须 逐 项 进行 审查 。 作 为 出 口 审查 过 程 的 一 部 分 ， 可 能 要 求 这 些 系统 具有 许 

可 证 ， 并 对 许可 证 进行 审查 以 确定 这 种 出 口 可 能 对 国家 安全 利益 ， 包 括 经 济 、 军 事 

和 政治 安全 利益 带 来 的 影响 。 出 口 许 可 证 被 同意 或 拒绝 根据 所 涉及 的 设备 类 型 、 建 

议 的 使 用 和 最 终 的 用 户 。 

我 们 的 分 析 旨 在 表明 : 美国 在 制造 和 出 口 信息 安全 技术 方面 处 于 世界 领先 地 

位 。 bt roe be 我 们 历来 的 通过 率 达 到 

90% 以 上 。 BF ORES Ee 安全 产品 出 口 许可 证 不 需要 委托 NSA 或 

DoD， 可 由 该 部 处 理 并 通 的 这 些 产 品 
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对 计算 机 或 网 络 提供 鉴别 和 访问 控制 。 事 实 上 ， 在 过 去 的 时 间 里 ，NSA 在 成 功 倡 
导 放 松 对 用 于 鉴别 的 RSA 和 相关 技术 的 出 口 控制 上 一 直 起 着 主要 作用 。 这 类 技术 
对 解决 黑客 问题 和 未 授权 使 用 资源 问题 具有 相当 的 价值 。 


NSA 对 政策 做 了 声明 : 不 限制 鉴别 产品 的 出 口 ， 而 只 限制 加 密 产 品 的 出 口 。 如 果 你 只 
想 出 口 鉴 别 产 品 ， 那 么 你 只 需 展 示 该 装置 不 容易 改装 为 加 密 装 置 即 可 获准 。 而 且 ， 鉴 别 产品 
比 加 密 产 品 的 官方 程序 简单 得 多 。 鉴 别 产 品 只 需要 国务 院 一 次 性 通过 ， 而 加 密 产 品 的 每 次 修 
改 或 甚至 于 每 次 销售 可 能 均 需 要 得 到 批准 。 

如 果 没 有 出 口 许可 证 ， 每 次 要 出 口 产品 均 需 取得 出 口 允 许 。 国 务 院 不 同意 具有 强加 密 算 
法 的 产品 出 口 ， 即 使 是 使 用 DES 算法 的 产品 的 出 口 也 不 行 。 但 也 有 例外 ， 如 出 口 到 与 美国 
通信 的 美国 附属 地 区 、 银 行 应 用 方面 的 出 口 ， 以 及 向 适当 的 美国 军品 用 户 出 口 。SPA 最 近 
一 直 在 同 政府 谈判 以 放宽 对 出 口 许可 证 的 限制 。1992 年 SPA 与 国务 院 达 成 了 一 项 协议 ， 只 
要 密 钥 长 度 为 40 位 或 更 少 ， 就 可 放宽 对 两 种 算法 (RC2 和 RC4) 的 出 口 许可 规定 。 具 体内 
容 参见 7.1 节 。 

1993 年 ，Maria Cantwell 议员 (DWA) 按 软件 工业 的 要 求 提出 了 一 项 法 案 ， 旨 在 放松 
对 加 密 软件 的 出 口 控 制 。 参 议员 Patty Murray (D-WA) 在 参议 院 紧 跟着 提出 一 项 法 案 。 
Cantwell 法 案 作 为 综合 出 口 控 制 法 案 的 附加 部 分 在 国会 通过 ， 但 在 NSA 的 极力 游说 下 被 国 
家 情报 委员 会 否决 。NSA 无 论 做 了 什么 ， 都 给 人 留 下 深刻 印象 ， 委 员 们 无 一 例外 地 投票 要 
求 删 除 该 内 容 。 我 都 快 忘记 上 一 次 立法 者 全 体 一 致 地 做 一 件 事 是 什么 时 候 了 。 

1995 年 ，Dan Bernstein 在 EFF 的 帮助 下 ， 回 美国 政府 提出 诉讼 ， 要 求 政府 放宽 在 密码 
文献 和 软件 出 版 物 方面 的 限制 "1 。 申 诉 书 称 出 口 控制 法 是 违背 完 法 的 ， 是 “限制 言论 ， 与 
第 一 修正 案 不 一 致 ”。 诉 讼 尤其 控诉 了 现 有 的 出 口 控制 过 程 : 

。 允许 官员 任意 限制 出 版 物 。 

。 对 第 一 修正 案 的 权利 没有 有 力 的 程序 上 的 保证 。 

。 要 求 发 行人 在 政府 注册 ,产生 有 效 的 “发 行 许 可 ”。 

。 不 允许 一 般 性 的 出 版 物 ， 要 求 对 接受 者 逐个 确定 。 

。 含糊 不 清 以 致 一 般 人 不 知道 什么 行为 是 允许 的 ， 什 么 行为 是 禁止 的 。 

。 范围 过 广 ， 对 明显 受 保护 的 行为 加 以 限制 (如 在 美国 国内 与 外 国人 交谈 )。 

。 应 用 过 滥 ， 限 制 目前 不 含 密码 ， 但 理论 上 以 后 可 增加 密码 的 软件 出 口 。 

。 由 于 禁止 关于 密码 学 的 私人 言论 而 极 大 地 违反 了 第 一 修正 案 ， 因 为 政府 希望 用 自己 

的 密码 学 观点 来 引导 公众 。 
。 出 口 控制 法 很 多 方面 超出 了 国会 赋予 的 权利 ， 同 样 超出 了 委员 会 赋予 的 权利 。 每 个 
人 都 预计 这 场 官司 会 持续 多 年 ， 没 人 知道 结果 会 怎样 。 

与 此 同时 ，NIST 的 一 个 官方 顾问 团 ， 计算 机 安全 和 保密 顾问 团 在 1992 年 3 月 投票 推 
荐 了 一 项 国家 性 的 密码 问题 审查 政策 ， 包 括 出 口 政 策 。 他 们 说 出 口 政策 只 需要 涉及 国家 安全 
的 机 构 来 确定 ， 不 需要 商业 促进 机 构 介 入 。 那 些 与 国家 安全 有 关 的 机 构 尽 可 能 地 希望 美国 出 
口 政策 在 以 后 几 年 中 及 时 调整 。 


25.15 其 他 国家 的 密码 进出 口 
其 他 国家 有 自己 的 进出 口 法 规 ， 1。 以 下 总 结 并 不 完全 ， 有 可 能 已 经 过 时 。 其 他 国家 可 


能 有 法 规 但 并 未 执行 ， 也 可 能 没有 法 规 但 对 进口 、 出 口 和 使 用 加 以 了 限制 。 
。 澳大利亚 仅 在 出 口 国 的 请 求 下 需要 密码 进口 证 书 。 


a 
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。 加 拿 大 没有 进口 控制 ， 出 口 控 制 与 美国 类 似 。 加 拿 大 出 口 条 黎 将 服从 限制 ， 如 有 果 该 
条 款 包 含 在 进出 口 允 许 法 案 的 出 口 控 制 清单 中 。 加 拿 大 在 密码 技术 规章 方面 遵从 
CoCom 的 规章 。 密 人 码 设备 被 划 到 加 拿 大 出 口 规定 的 第 五 类 中 的 第 二 部 分 ， 这 些 规定 
类 似 于 美国 的 出 口 管 理 规 定 的 第 五 类 。 

。 中 国 在 商品 进口 方面 有 许可 证 ， 出 口 商 必须 在 对 外 贸易 部 申请 归档 。 在 1987 年 颁布 
的 中 国 进出 口 禁止 和 限制 清单 的 基础 上 ， 中 国 限制 语音 加 密 设 备 的 进出 口 。 

。 法 国 在 密码 进口 方面 没有 特殊 的 法 规 , 但 他 们 对 在 国内 销售 和 使 用 密码 设备 制定 了 法 
规 。 所 有 的 产品 必须 被 认证 : 无 论 它们 适应 于 公开 的 规范 ， 还 是 将 公司 所 有 的 规范 提 
供给 政府 。 政 府 也 可 能 要 求 两 套 规范 以 供 自己 使 用 。 公 司 在 法 国 国 内 销售 密码 产品 必 
须 获 得 许可 ， 许 可 指定 了 目标 市 场 。 使 用 者 必须 有 购买 和 使 用 密码 设备 的 许可 ， 许 可 
包括 一 项 声明 ， 大 意 是 使 用 者 必须 在 使 用 4 月 后 将 其 密 钥 上 交 政 府 。 这 项 限制 在 一 些 
情况 下 例外 : 银行 、 大 公司 等 。 对 由 美国 出 口 的 密码 设备 没有 许可 要 求 。 

。 德国 遵照 CoCom 的 方针 ， 对 出 口 密码 要 求 许可 。 他 们 特别 坚持 对 公共 领域 和 大 市 
场 的 密码 软件 加 以 控制 。 

。 以 色 列 有 进口 限制 , 但 好 像 没 人 知道 有 些 什么 。 

比利时 、 意 大 利 、 日 本 、 和 荷兰 和 英国 在 密码 方面 遵从 CoCom 的 方针 ， 要 求 出 口 许可 。 

。 巴西 、 印 度 、 墨 西 哥 、 俄 罗斯、 沙特 阿拉 伯 、 西 班 牙 、 南 非 、 瑞 典 和 瑞士 在 密码 进 
出 口 方面 都 没有 限制 。 


25. 16 合法 性 问题 

数字 签名 是 真正 的 签名 吗 ?” 它们 在 法 庭 上 站 得 住 脚 吗 ? 一些 刚 起 步 的 法 律 研究 结果 认 
为 ， 数 字 签 名 将 满足 大 多 数 在 法 律 上 具有 约束 力 的 签名 要 求 ， 包 括 统 一 商用 代码 (UCC) 
中 定义 的 商业 使 用 。GAO (政府 结算 办 公 室 ) 根据 NIST 的 请 求 做 了 一 项 决定 ， 认 为 数字 
签名 将 满足 手写 签名 的 法 律 标准 。 

犹他 州 数字 签名 法 案 于 1995 年 5 月 1 日 生效 ， 为 在 司法 界 使 用 数字 签名 提供 了 合法 的 
框架 。 加 利 福 尼 亚 有 一 项 悬而未决 的 法 案 ， 同 时 俄 勒 刚 州 和 华盛顿 州 正在 编写 自己 的 法 案 。 
德州 和 佛罗里达 州 紧 跟 其 后 。 到 本 书 出 版 时 ， 更 多 州都 相继 有 法 案 出 台 。 

美国 律师 协会 为 各 州 产生 一 份 法 案 模版 用 于 各 自 的 立法 。 法 案 尝试 将 数字 签名 合并 于 已 
存在 的 法 律 中 作为 签名 : 统一 商业 码 、 美 国联 邦 储备 规则 、 有 关 合同 和 签名 的 普通 法 律 、 联 
合 国 国际 贸易 惯例 、 联 合 国 关于 国际 交换 议案 和 国际 许可 委员 会 的 惯例 。 法 案 中 包括 证 书 发 
放 机 构 的 责任 和 义务 、 可 靠 性 问题 、 限 制 和 政策 。 

在 美国 ， 有 关 签 名 、 合 同 以 及 商业 贸易 的 法 律 都 是 州立 法 律 ， 所 以 这 个 法 案 模版 为 各 州 
设计 。 最 终 目 标 是 联邦 法 案 ， 但 如 果 这 一 切 由 州 开始 ，NSA 就 不 会 有 机 会 破坏 它 。 

即使 数字 签名 的 有 效 性 在 法 庭 上 没有 引起 异议 ， 但 它们 的 合法 地 位 仍然 没有 确定 。 为 了 
让 数字 签名 具有 与 手写 签名 相同 的 权威 性 ， 首 先 必 须 将 数字 签名 用 来 签署 在 法 律 上 具有 约束 
力 的 文献 ， 然 后 在 法 庭 上 由 另 一 方 提出 质疑 。 法 庭 然 后 考虑 该 签名 体制 的 安全 并 发 布 裁 决 。 
反复 这 样 做 多 次 ， 一 批 优先 裁决 将 产生 ， 从 而 对 数字 签名 需要 什么 样 的 数字 签名 方法 及 密 铀 
长 度 才 具有 法 律 约束 力 做 出 要 求 。 这 一 切 仍 需 时 日 。 

至 此 ， 如 果 两 个 人 希望 在 合同 方面 〈 或 购买 请 求 ， 或 工作 合作 等 ) 使 用 数字 签名 ， 那 么 
建议 他 们 在 书面 合同 上 签名 ， 以 表示 他 们 将 来 同意 数字 签署 的 任何 文件 ”… 。 该 文件 指出 了 
算法 、 密 钥 长 度 及 其 他 参数 ， 并 描述 了 问题 该 怎样 得 到 解决 。 


附录 A 源 代 B 


A.1 DES 
#define ENO 0 /* MODE == encrypt */ 
#define DEI 1 /* MODE == decrypt */ 


typedef struct { 
unsigned long ek[32]; 
unsigned long dk[32]; 
} des_ctx; 


extern void deskey(unsigned char *, short); 
/* hexkey[8] MODE 
* Sets the internal key register according to the hexadecimal 
* key contained in the 8 bytes of hexkey, according to the DES, 
id encryption or decryption according to MODE. 
* 
extern void usekey(unsigned long *); 
/* cookedkey[32] 


* Loads the internal key register with the data in cookedkey. 
ay 


extern void cpkey(unsigned long *); 
/* cookedkey[32] 


* Copies the contents of the internal key register into the storage 


* located at &cookedkey[0]. 
bas | 


extern void des(unsigned char *, unsigned char *); 
/* from[8] to[8] 
* Encrypts/Decrypts (according to the key currently loaded in the 


* internal key register) one block of eight bytes at address ‘from' 


* into the block at address 'to'. They can be the same. 
Rp 


static void scrunch(unsigned char *, unsigned long *); 
static void unscrun(unsigned long *, unsigned char *); 
static void desfunc(unsigned long *, unsigned long *); 
static void cookey(unsigned long *); 


static unsigned long KnL[32] = { OL }; 

static unsigned long KnR[32] = ( OL }; 

static unsigned long Kn3[32] = { OL }; 

static unsigned char Df_Key[24] = | 
0x01 ,0x23,0x45 ,0x67 ,0x89,Oxab,0xcd, 0xef, 
Oxfe,Oxdc,Oxba,0x98,0x76,0x54,0x32,0x10, 
0x89, 0xab,Oxcd,0xef ,0x01,0x23,0x45,0x67 l; 


static unsigned short bytebit[8] = | 
0200, 0100, 040, 020, 010, 04, 02, 01 |; 


static unsigned long bigbyte[24] = | 


Ox800000L, 0x400000L, 0x200000L, 0x100000L, 
0x80000L, 0x40000L, 0x20000L, 0x10000L, 
0x8000L, 0x4000L, 0x2000L, 0x1000L, 
Ox800L, 0x400L, 0x200L, 
Ox80L, Ox40L, Ox20L, 


Ox8L, Ox4L, Ox2L, Ox1L Py 


Ox100L, 
Ox10L, 
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/* Use the key schedule specified in the Standard (ANSI X3.92-1981). */ 


static unsigned char pcl[56] = { 
56, 48, 40, 32, 24, 16, 8, 0, 57, 49, 41, 33, 25, 17, 
9, 1, 58, 50, 42, 34, 26, 18, 10, 2, 59, 51, 43, 35, 
62, 54, 46, 38, 30, 22, 14, 6, 61, 53, 45, 37, 29, 21, 
13, 5; 60, 52, 44, 36, 28, 20; 12, 4, 27, 19, 11, 3 Js 


static unsigned char totrot[16] = { 
1,2 4,658510,32,14,.15,17,19,21,23,25,27.28 b3 


static unsigned char pc2[48] = { 


T3516, 10; 23, Os 4; 2, 27, 14, 5, 20, 9, 

22, 185 11, 35. 25, 1, 15, 6,26, 19, 12, 1, 

40, 51, 30, 36, 46, 54, 29, 39, 50, 44, 32, 47, 

43, 48, 38, 55, 33, 52, 45, 41, 49, 35, 28, 31 }; 
void deskey(key, edf) /* Thanks to James Gillogly & Phil Karn! */ 
unsigned char *key; 
short edf; 


{ 
register int i, j, 1, m, n; 
unsigned char pclm[56]，pcr[56]; 
unsigned long kn[32]; 


for ( j = 0; j < 56; j++) | 
T= pelljds 
m= 1 & 07; 
‘ma = (key[1 >> 3] & bytebit[m]) ? 1: 0; 
for( i = 0; i < 16; i++ ) | 
if( edf == DE] ) m= 
elsem=i << 1; 
n= im + 2; 
kn[m] = kn[n] = OL; 
for( j = 0; j < 28; j++) { 
l = j + totrotli]; 
if( 1 < 28 ) pcr[j] = pclm[1]; 
else pcr[j] = pclm[1 - 28]; 
} 
for( j = 28; j < 56; j++ ) | 
l = j + totrot[i]; 
if( 1 < 56 ) pcr[j] = pcelm{1]; 
else pcr[j] = pclm[1 - 28]; 
} 
for( j = 0; j < 24; j+ ) | 
if( pcr[pc2[j]] ) kn[m] |= bigbyte[j]; 
if( pcr[pc2[j+24]] ) kn[n] |= bigbyte[j]; 
} 


(15 - i) «< 1; 


} 
cookey(kn); 


return; 
} 


static void cookey(rawl) 
register unsigned long *rawl; 


{ 


register unsigned long *cook, *raw0; 
unsigned long dough[32]; 
register int i; 


cook = dough; 

for( i = 0; i < 16; i++, rawl++ ) | 
raw0 = rawl++; 
*cook = (*raw0 & 0x00fc0000L) << 6; 
*cook |= (*raw0 & 0x00000fcOL) << 10; 
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*cook |= (*rawl & 0x00fc0000L) >> 10; 
*cook++ |= (*rawl & Ox00000fcOL) >> 6; 
*cook = (*raw0 & 0x0003f000L) << 12; 

*cook |= (*raw0 & 0x0000003fL) << 16; 

*cook |= (*rawl & Ox0003f000L) >> 4; 
*cook++ |= (*rawl & 0x0000003FL); 


} 
usekey(dough) ; 
return; 

} 


void cpkey(into) 
register unsigned long *into; 
{ 
register unsigned long *from, *endp; 


from = KnL, endp = &KnL(32]; 
while( from < endp ) *into++ = *fromt+; 
return; 

| 


void usekey( from) 
register unsigned long *from; 
{ 
register unsigned long *to, *endp; 


to = KnL, endp = &KnL[32]; 
while( to < endp ) *to++ = *fromt++; 
return; 

} 


void des(inblock, outblock) 
unsigned char *inblock, *outblock; 
{ 

unsigned long work[2]; 


scrunch(inblock, work); 
desfunc(work, KnL); 
unscrun(work, outblock); 
return; 

} 


static void scrunch(outof, into) 
register unsigned char *outof; 
register unsigned long *into; 

{ 


*into = (*outof++ & OxffL) << 24; 
*into |= (*outoft+ & OxffL) << 16; 
*into |= (*outof++ & OxffL) << 8; 
*intot+ |= (*outoft+ & OxffL); 
*into = (*outoft+ & OxffL) << 24; 
*into |= (*outof++ & Oxffl) << 16; 
*into |= (*outof++ & OxffL) << 8; 
*into |= (*outof & Oxffl); 
return; 


} 


static void unscrun(outof, into) 
register unsigned long *outof; 
register unsigned char *into; 
{ 
*into++ = (*outof >> 24) & OxffL; 
*intot+ = (*outof >> 16) & OxffLl; 
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*intot+ = (*outof >> 8) & OxffLl; 
*intot+ = *outoft+ & OxffLl; 
*jintot+ = (*outof >> 24) & OxffL; 
*into++ = (*outof >> 16) & OxffL; 
*intot+ = (*outof >> 8) & OxffL; 
*into = *outof & OxffL; 

return; 


static unsigned long SP1[64] = { 
Ox01010400L, OxO0000000L, Ox00010000L, 0x01010404L, 
0x01010004L, 0x00010404L, 0x00000004L, 0x00010000L, 
Ox00000400L, 0x01010400L, 0x01010404L, 0x00000400L, 
0x01000404L, 0x01010004L, Ox01000000L, 0x00000004L, 
0x00000404L, 0x01000400L, 0x01000400L, 0x00010400L, 
Ox00010400L, OxO01010000L, Ox01010000L, 0x01000404L, 
0x00010004L, 0x01000004L, 0x01000004L, 0x00010004L, 
Ox00000000L, 0x00000404L, 0x00010404L, Ox01000000L, 
Ox00010000L, 0x01010404L, O0x00000004L, Ox01010000L, 
0x01010400L, Ox01000000L, Ox01000000L, O0x00000400L, 
0x01010004L, Ox00010000L, 0x00010400L, 0x01000004L, 
Ox00000400L, Ox00000004L, 0x01000404L, 0x00010404L, 
0x01010404L, 0x00010004L, Ox01010000L, 0x01000404L, 
0x01000004L, 0x00000404L, 0x00010404L, 0x01010400L, 
0x00000404L, 0x01000400L, 0x01000400L, 0x00000000L, 
0x00010004L, 0x00010400L, Ox00000000L, 0x01010004L }; 





static unsigned long SP2[64] = | 
0x80108020L, Ox80008000L, Ox00008000L, 0x00108020L, 
Ox00100000L, 0x00000020L, 0x80100020L, 0x80008020L, 
Ox80000020L, 0x80108020L, Ox80108000L, Ox80000000L, 
Ox80008000L, 0x00100000L, 0x00000020L, 0x80100020L, 
0x00108000L, 0x00100020L, 0x80008020L, Ox00000000L, 
Ox80000000L, Ox00008000L, 0x00108020L, Ox80100000L, 
0x00100020L, 0x80000020L, Ox00000000L, 0x00108000L, 
0x00008020L, 0x80108000L, Ox80100000L, 0x00008020L, 
Ox00000000L, 0x00108020L, 0x80100020L, 0x00100000L, 
0x80008020L, 0x80100000L, Ox80108000L, Ox00008000L, 
Ox80100000L, Ox80008000L, 0x00000020L, 0x80108020L, 
0x00108020L, 0x00000020L, Ox00008000L, Ox80000000L, 
0x00008020L, Ox80108000L, Ox00100000L, 0x80000020L, 
0x00100020L, 0x80008020L, 0x80000020L, 0x00100020L, 
Ox00108000L, Ox00000000L, Ox80008000L, 0x00008020L, 
Ox80000000L, 0x80100020L, 0x80108020L, Ox00108000L }; 





static unsigned long SP3[64] = { 
0x00000208L, 0x08020200L, Ox00000000L, 0x08020008L, 
0x08000200L, 0x00000000L, 0x00020208L, 0x08000200L, 
0x00020008L, O0x08000008L, 0x08000008L, 0x00020000L, 
0x08020208L, 0x00020008L, 0x08020000L, 0x00000208L, 
0x08000000L, 0x00000008L, 0x08020200L, 0x00000200L, 
0x00020200L, 0x08020000L, 0x08020008L, 0x00020208L, 
0x08000208L, 0x00020200L, 0x00020000L, 0x08000208L, 
0x00000008L, 0x08020208L, 0x00000200L, 0x08000000L, 
0x08020200L, Ox08000000L, 0x00020008L, 0x00000208L, 
0x00020000L, 0x08020200L, 0x08000200L, 0x00000000L, 
0x00000200L, 0x00020008L, 0x08020208L, 0x08000200L, 
Ox08000008L, Ox00000200L, 0x00000000L, 0x08020008L, 
0x08000208L, Ox00020000L, 0x08000000L, 0x08020208L, 
0x00000008L, 0x00020208L, 0x00020200L, 0x08000008L, 
0x08020000L, 0x08000208L, 0x00000208L, 0x08020000L, 
0x00020208L, Ox00000008L, 0x08020008L, 0x00020200L |; 
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static unsigned long SP4[64] = { 
0x00802001L, 0x00002081L, 0x00002081L, 0x00000080L, 
0x00802080L, 0x00800081L, 0x00800001L, 0x00002001L, 
Ox00000000L, 0x00802000L, 0x00802000L, 0x00802081L, 
0x00000081L, Ox00000000L, 0x00800080L, 0x00800001L, 
0x00000001L, 0x00002000L, Ox00800000L, 0x00802001L, 
0x00000080L, Ox00800000L, 0x00002001L, 0x00002080L, 
0x00800081L, Ox00000001L, 0x00002080L, 0x00800080L, 
0x00002000L, 0x00802080L, 0x00802081L, 0x00000081L, 
0x00800080L, Ox00800001L, 0x00802000L, 0x00802081L, 
0x00000081L, Ox00000000L, 0x00000000L, 0x00802000L, 
0x00002080L, Ox00800080L, 0x00800081L, Ox00000001L, 
0x00802001L, 0x00002081L, 0x00002081L, 0x00000080L, 
0x00802081L, 0x00000081L, 0x00000001L, 0x00002000L, 
Ox00800001L, 0x00002001L, 0x00802080L, 0x00800081L, 
0x00002001L, 0x00002080L, Ox00800000L, 0x00802001L, 
0x00000080L, Ox00800000L, 0x00002000L, 0x00802080L }; 


static unsigned long SP5[64] = { 
Ox00000100L, Ox02080100L, Ox02080000L, 0x42000100L, 
Ox00080000L, Ox00000100L, Ox40000000L, 0x02080000L, 
0x40080100L, Ox00080000L, 0x02000100L, 0x40080100L, 
0x42000100L, 0x42080000L, 0x00080100L, Ox40000000L, 
0x02000000L, 0x40080000L, Ox40080000L, Ox00000000L, 
0x40000100L, 0x42080100L, 0x42080100L, 0x02000100L, 
0x42080000L, 0x40000100L, 0x00000000L, 0x42000000L, 
0x02080100L, Ox02000000L, 0x42000000L, 0x00080100L, 
Ox00080000L, 0x42000100L, 0x00000100L, 0x02000000L, 
0x40000000L, Ox02080000L, 0x42000100L, 0x40080100L, 
0x02000100L, Ox40000000L, 0x42080000L, 0x02080100L, 
0x40080100L, 0x00000100L, Ox02000000L, 0x42080000L, 
0x42080100L, Ox00080100L, Ox42000000L, 0x42080100L, 
0x02080000L, 0x00000000L, Ox40080000L, 0x42000000L, 
0x00080100L, 0x02000100L, 0x40000100L, Ox00080000L, 
OxO00000000L, Ox40080000L, 0x02080100L, 0x40000100L }; 


static unsigned long SP6[64] = | 
0x20000010L, 0x20400000L, 0x00004000L, 0x20404010L, 
0x20400000L, Ox00000010L, 0x20404010L, 0x00400000L, 
0x20004000L, 0x00404010L, Ox00400000L, 0x20000010L, 
0x00400010L, 0x20004000L, 0x20000000L, 0x00004010L, 
Ox00000000L, 0x00400010L, 0x20004010L, 0x00004000L, 
0x00404000L, 0x20004010L, 0x00000010L, 0x20400010L, 
0x20400010L, Ox00000000L, 0x00404010L, 0x20404000L, 
0x00004010L, 0x00404000L, 0x20404000L, 0x20000000L, 
0x20004000L, Ox00000010L, 0x20400010L, 0x00404000L, 
0x20404010L, Ox00400000L, 0x00004010L, 0x20000010L, 
Ox00400000L, 0x20004000L, Ox20000000L, 0x00004010L, 
Ox20000010L, 0x20404010L, 0x00404000L, 0x20400000L, 
0x00404010L, 0x20404000L, 0x00000000L, 0x20400010L, 
Ox00000010L, 0x00004000L, 0x20400000L, 0x00404010L, 
0x00004000L, 0x00400010L, 0x20004010L, 0x00000000L, 
0x20404000L, Ox20000000L, 0x00400010L, 0x20004010L }; 


static unsigned long SP7[64] = | 
0x00200000L, 0x04200002L, 0x04000802L, 0x00000000L, 
Ox00000800L, 0x04000802L, 0x00200802L, 0x04200800L, 
0x04200802L, 0x00200000L, Ox00000000L, 0x04000002L , 
0x00000002L, Ox04000000L, 0x04200002L, 0x00000802L , 
0x04000800L, 0x00200802L, 0x00200002L, 0x04000800L, 
0x04000002L, 0x04200000L, 0x04200800L, 0x00200002L , 
0x04200000L, Ox00000800L, 0x00000802L, 0x04200802L, 
0x00200800L, 0x00000002L, 0x04000000L, 0x00200800L, 
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Ox04000000L, 0x00200800L, 0x00200000L, 0x04000802L, 
0x04000802L, 0x04200002L, 0x04200002L, 0x00000002L, 
0x00200002L, Ox04000000L, 0x04000800L, 0x00200000L, 
0x04200800L, 0x00000802L, 0x00200802L, 0x04200800L, 
0x00000802L, 0x04000002L, 0x04200802L, 0x04200000L, 
0x00200800L, Ox00000000L, 0x00000002L, 0x04200802L, 
Ox00000000L, 0x00200802L, 0x04200000L, 0x00000800L, 
0x04000002L, 0x04000800L, Ox00000800L, 0x00200002L |; 


static unsigned long SP8[64] = 1 
0x10001040L, Ox00001000L, Ox00040000L, 0x10041040L, 
Oxl0000000L, 0x10001040L, 0x00000040L, 0x10000000L, 
0x00040040L, 0x10040000L, 0x10041040L, 0x00041000L, 
0x10041000L, 0x00041040L, 0x00001000L, 0x00000040L, 
0x10040000L, 0x10000040L, 0x10001000L, 0x00001040L, 
0x00041000L, 0x00040040L, 0x10040040L, 0x10041000L, 
0x00001040L, Ox00000000L, Ox00000000L, 0x10040040L, 
0x10000040L, 0x10001000L, 0x00041040L, 0x00040000L, 
0x00041040L, Ox00040000L, 0x10041000L, 0x00001000L, 
0x00000040L, 0x10040040L, 0x00001000L, 0x00041040L, 
0x10001000L, 0x00000040L, 0x10000040L, 0x10040000L, 
0x10040040L, 0x10000000L, 0x00040000L, 0x10001040L, 
0x00000000L, 0x10041040L, 0x00040040L, 0x10000040L, 
0x10040000L, 0x10001000L, 0x10001040L, O0x00000000L, 
0x10041040L, 0x00041000L, 0x00041000L, 0x00001040L, 
0x00001040L, 0x00040040L, 0x10000000L, 0x10041000L |; 


static void desfunc(block, keys) 

register unsigned long *block, *keys; 

{ 
register unsigned long fval, work, right, leftt; 
register int round; 


leftt = block[0]; 

right = block(1]; 

work = ((leftt >> 4) ^ right) & 0x0f0f0f0fL; 

right *= work; 

leftt *= (work << 4); 

work = ((leftt >> 16) ^ right) & Ox0000ffffL; 

right *= work; 

leftt *= (work << 16); 

work = ((right >> 2) ^ leftt) & 0x33333333L; 

leftt *= work; 

right ^= (work << 2); 

work = ((right >> 8) ^ leftt) & OxO0ffOOFFL; 

leftt ^= work; 

right *= (work << 8); 

right = ((right << 1) | ((right >> 31) & 1L)) & OxffffffffL; 
work = (leftt ^ right) & OxaaaaaaaaL; 

leftt ^= work; 

right ^= work; 

leftt = ((leftt << 1) | ((leftt >> 31) & 1L)) & OxffffffffL; 


for( round = 0; round < 8; round++ ) { 
work = (right << 28) | (right >> 4); 
work ^= *keys++; 
fval = SP7[ work & Ox3fLI; 
fval |= SP5{(work >> 8) & 0x3fL]; 

fval |= SP3[(work >> 16) & 0x3fL]; 

fval |= SPl[(work >> 24) & Ox3fL]; 

work = right ^ *keyst++; 

fval |= SP8[ work & Ox3fLI; 

|= SP6[ (work >> 8) & Ox3fL]; 
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fval |= SP4((work >> 16) & Ox3fL]; 

fval |= SP2[(work >> 24) & Ox3fL]; 
leftt ^= fval; 

work = (leftt << 28) | (leftt >> 4); 
work ^= *keyst+; 

fval = SP7{ work & 0x3fL] ; 
fval |= SP5{(work >> 8) & 0x3fL]; 

fval |= SP3{(work >> 16) & Ox3fL]; 

fval |= SPl{(work >> 24) & Ox3fL]; 

work = leftt ^ *keys++; 

fval |= SP8[ work & 0x3fL] ; 
fval |= SP6[(work >> 8) & 0x3fL]; 

fval |= SP4[(work >> 16) & 0x3fL]; 

fval |= SP2[(work >> 24) & Ox3fL]; 
right *= fval; 

| 


right = (right << 31) | (right >> 1); 

work = (leftt ^ right) & OxaaaaaaaaL; 

leftt ^= work; f 

right ^= work; 

leftt = (leftt << 31) | (leftt >> 1); 

work = ((leftt >> 8) ^ right) & 0x00ff00ffL; 
right *= work; 

leftt ^= (work << 8); 

work = ((leftt >> 2) * right) & 0x33333333L; 
right *= work; 

leftt *= (work << 2); 

work = ((right >> 16) ^ leftt) & 0x0000ffffL; 
leftt *= work; 

right *= (work << 16); 

work = ((right >> 4) ^ leftt) & OxO0fOfOfFOFL; 
leftt *= work; 

right *= (work << 4); 

*block++ = right; 

*block = leftt; 

return; 


/* Validation sets: 


* 


大 

* 

* 
* 
* 


Single-length key, single-length plaintext 


: 0123 4567 89ab cdef 


Plain : 0123 4567 89ab cde7 
Cipher : c957 4425 6a5e d3ld 


FI II I IK IK I IK IT KIT IH TI KEK I TOK III e Fe He e e e IA HII SI IAI AIS AAI AIA ISAACS AAI IH] 


void des_key(des_ctx *dc, unsigned char *key){ 


} 


deskey(key,ENO); 
cpkey(dc->ek); 
deskey(key,DE1); 
cpkey(dc->dk); 


/* Encrypt several blocks in ECB mode. Caller is responsible for 


short blocks. */ 


void des_enc(des_ctx *dc, unsigned char *data, int blocks){ 


unsigned long work[2]; 
int i; 
unsigned char *cp; 


cp = datā; 
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for(i=0;i<blocks;it+) { 
scrunch(cp,work); 
desfunc(work,dc->ek); 
unscrun(work,cp); 
cpt+=8 ; 


} 


void des_dec(des_ctx *dc, unsigned char *data, int blocks){ 
unsigned long work[2]; 
int i; 
unsigned char *cp; 


cp = data; 

for(i=0;i<blocks; i++) ( 
scrunch(cp,work); 
desfunc(work,dc->dk); 
unscrun(work,cp); 
cpt+=8; 


} 


void main(void){ 
des_ctx dc; 
int as 
unsigned long data{10]; 
char *cp,key[8) = {0x01,0x23,0x45,0x67,0x89,0xab,0xcd,0xef}; 
char x[8] = {0x01,0x23,0x45,0x67,0x89,0xab,0xcd,0xe7}; 


cp = x; 


des_key(&dc,key); 

des_enc(&dc,cp,1); 

printf("Enc(0..7,0..7) ="); 

for(i=0;1<8;i++) printf("%02x ", ((unsigned int) cpli])&0x00ff); 
printti" Ni" ys 


des_dec(&dc,cp,1); 


printf("Dec(above,0..7) = "); 
for(i=0;1<8;i++) printf("%02x ",((unsigned int)cp[i])&0x00ff); 
printf("\n"); 


cp = (char *) data; 
for(i=0;1<10; i++) dataliJ=i; 


des_enc(&dc,cp,5); /* Enc 5 blocks. */ 
for(i=0;1<10;i+=2) printf("Block %01d = %081x %081x.\n", 
i/2,data[i],data[i+1]); 


des_dec(&dc,cp,1); 

des_dec(&dc,cp+8,4); 

for(i=0;1<10;it+=2) printf("Block %01d = %081x %081x.\n", 
i/2,datali],dataCi+l]); 


A.2 LOK191 

#Hinclude <stdio.h> 

define LOKIBLK 8 /* No of bytes in a LOKI data-block 
#tdefine ROUNDS 16 /* No of LOKI rounds 


typedef unsigned long Long; /* type specification for aligned LOKI 


ey 
*/ 


blocks 


my) 


extern 
extern 


#ifdef — 


extern 
extern 
extern 
#else 

extern 
#endif 


char P[ 


typedef 


sfn_des 


typedef 
} loki_ 


static 
static 
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Long lokikey[2]; /* 64-bit key used by LOKI routines =f 
char *loki_lib_ver; /* String with version no. & copyright 


STOC__ /* declare prototypes for library functions 
void enloki(char *b); 
void deloki(char *b); 
void setlokikey(char key[LOKIBLK] ) ; 

/* else just declare library functions extern */ 
void enloki(), deloki(), setlokikey(); 


— STOC 


32] = { 
31, 23, 15, 7, 30, 22, 14, 6, 
29, 21, 13, 5, 28, 20, 12, 4, 
27, 19, 11, 3, 26, 18, 10, 2, 
25, 17, 9, 1, 24, 16, 8, 0 
l; 


struct { 
short gen; /* irreducible polynomial used in this field */ 
short exp; /* exponent used to generate this s function */ 
} sfn_desc; 
c sfn[] = 1 


/二 VOULIOTLI *7 345; 3il, | /te VOLLILOTI #7 379, 31), 
/* 110000111 */ 391, 31), { /* 110001011 */ 395, 31), 
/* 110001101 */ 397, 31}, | /* 110011111 */ 415, 31}, 
/* 110100011 */ 419, 31}, 1 /* 110101001 */ 425, 31), 
/* 110110001 */ 433, 31}, { /* 110111101 */ 445, 31}, 
/* 111000011 */ 451, 31), { /* 111001111 */ 463, 31), 
/* 111010111 */ 471, 31), { /* 111011101 */ 477, 31}, 
/* 1111001211 */ 487, 31}, { /* 1110011 *7 499, 31}, 


00, 00} J; 
struct | 
Long loki_subkeys{ROUNDS]; 
ctx; 
Long f(); /* declare LOKI function f */ 
short s(); /* declare LOKI S-box fn s */ 


#define ROL12(b) b = ((b << 12) | (b >> 20)); 
#define ROL13(b) b = ((b << 13) | (b >> 19)); 


ti fdef 


} 
#endif 


void 


setloki 
{ 


#i fdef 


LITTLE_ENDIAN 
#define bswap(cb) { \ 

register char c; \ 
c = cb(0]; cb(0] = cb[3]; cb(3] = g; \ 
c = cb[1]; cb[1] = cb[2]; cb[2] = c; \ 
c = cb[4]; cb[4] = cb[7]; cb[7] = cj \ 
c = cb[5]; cb[5] = cb[6]; cb[6] = c; \ 

key(loki_ctx *c, char *key) 

register 13 

register Long KL, KR; 

LITTLE_ENDIAN 
bswap(key); /* swap bytes round if little-endian */ 


dtendif 


*/ 


if 
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KL = ((Long *)key)[0]; 
KR = ((Long *)key)(1]; 


for (i=0; i<ROUNDS; i+=4) | /* Generate the 16 subkeys */ 
c->loki_subkeys({i] = KL; 
ROL12 (KL); 
c->loki_subkeys[it+1l] = KL; 
ROL13 (KL); 
c->loki_subkeys[it+2] = KR; 
ROL12 (KR); 
c->loki_subkeys[i+3] = KR; 
ROL13 (KR); 
} 


#ifdef LITTLE_ENDIAN 

bswap( key); /* swap bytes back if little-endian */ 
#endif 
} 


void 
enloki (loki_ctx *c, char *b) 
{ 
register i; 
register Long L, R; /* left & right data halves */ 


#ifdef LITTLE_ENDIAN 
bswap(b); /* swap bytes round if little-endian */ 
#endif 


L = ((Long *)b)(0]; 
R = ((Long *)b)(1]; 


for (i=0; i<ROUNDS; i+=2) { /* Encrypt with the t6 subkeys */ 
L ^= f (R, c->loki_subkeys[i]); 
R ^= f (L, c->loki_subkeys[i+1]); 

} 


((Long *)b)[0] = R; /* Y = swap(LR) */ 
((Long *)b)(1] = L; 


#ifdef LITTLE_ENDIAN 
bswap(b); /* swap bytes round if little-endian */ 

endif 

} 


void 
deloki(loki_ctx *c, char *b) 
{ 


register ĵi; 

register Long L, R; /* left & right data halves */ 
#ifdef LITTLE_ENDIAN 

bswap(b) ; /* swap bytes round if little-endian */ 
#endif 

L = ((Long *)b)(0]; /* LR = X XOR K */ 


R = ((Long *)b)[1]; 


for (i=ROUNDS; i>0; i-=2) { /* subkeys in reverse order */ 
L ^= f(R, c->loki_subkeys[i-1]); 
R ^= f(L, c->loki_subkeys[i-2]); 

} 


((Long *)b)[0] = R; /* Y = LR XOR K */ 


((Long *)b)[1] = L; 
} 


#define MASK12 Ox0f ff /* 12 bit mask for expansion E */ ` 
static Long 
f(r, k) 
register Long r; /* Data value R(i-1) */ 
Long k; /* Key K(i) wf 
{ 
Long a, D; G /* 32 bit S-box output, & P output */ 
a= 7 * ke /* A = R(i-1) XOR K(i) */ 


/* want to use slow speed/small size version */ 

b = ((Long)s((a & MASK12)) ) | /* B= SERGELI JKD #7 
((Long)s(((a >> 8) & MASK12)) << 8) | 
((Long)s(((a >> 16) & MASK12)) << 16) | 
((Long)s((((a >> 24) | (a << 8)) & MASK12)) << 24); 


perm32(&c, &b, P); /* C = PESC ECRCi-1)) XOR KCNN) */ 


return(c); /* f returns the result C */ 
} 


static short s(i) 
register Long i; /* return S-box value for input i */ 
{ 

register short r, c, v, t; 


short exp8(); /* exponentiation routine for GF(2*8) */ 
r= ((i>>8) & Oxc) | (i & 0x3); /* row value-top 2 & bottom 2 */ 
c = (1>>2) & Oxff; /* column value-middle 8 bits */ 
t= (c + ((r * 17) * Oxff)) & Oxff; /* base value for Sfn */ 
v = exp8(t, sfn[r].exp, sfn{r].gen); /* Sfn{r] = t ^ exp mod gen */ 
return(v); 
} 
#define MSB Ox80000000L /* MSB of 32-bit word */ 
perm32(out, in , perm) 
Long *out; /* Output 32-bit block to be permuted wy 
Long *in; /* Input 32-bit block after permutation */ 
char perm[32]; /* Permutation array *y 
{ 
Long mask = MSB; /* mask used to set bit in output */ 
register int i, 0, b; /* input bit no, output bit no, value */ 
register char *p = perm; /* ptr to permutation array */ 
*out = 0; /* clear output block */ 
for (o=0; 0<32; 0++) | /* For each output bit position o */ 
i =(int)*p++; /* get input bit permuted to output o */ 
b = (*in >> i) & 0l; /* value of input bit i */ 
if (b) /* If the input bit i is set */ 
*out |= mask; /* OR in mask to output i */ 
mask >>= 1; /* Shift mask to next bit wy 
} 
\ 
define SIZE 256 /* 256 elements in GF(2%8) */ 


short mult8(a, b, gen) 
short a, D; /* operands for multiply */ 
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short gen; /* irreducible polynomial generating Galois Field */ 
{ 
short product = 0; /* result of multiplication */ 
while(b != 0) { /* while multiplier is non-zero */ 
if (b & 01) 
product ^= a; /* add multiplicand if LSB of b set */ 
a <<= 1; /* shift multiplicand one place */ 
if (a >= SIZE) 
a ^= gen; {[* and modulo reduce if needed */ 
b >>= 1; [2 shift multiplier one place */ 


| 
return(product); 
) 


short exp8(base, exponent, gen) 


short base; /* base of exponentiation */ 
short exponent; /* exponent ey 
short gen; /* irreducible polynomial generating Galois Field */ 
{ 
short accum = base; /* superincreasing sequence of base */ 
short result = 1; /* result of exponentiation ay 
if (base == 0) /* if zero base specified then Wh 
return(0); /* the result is "0" if base = 0 */ 
while (exponent != 0) | /* repeat while exponent non-zero */ 
if (( exponent & 0x0001) == 0x0001) /* multiply if exp 1 */ 
result = mult8(result, accum, gen); 
exponent >>= 1; /* shift exponent to next digit */ 
accum = mult8(accum, accum, gen); /* & square */ 


| 
return(result); 

| 

void loki_key(loki_ctx *c, unsigned char *key) { 
setlokikey(c,key); 

} 


void loki_enc(loki_ctx *c, unsigned char *data, int blocks){ 
unsigned char *cp; 
int i; 


cp = data; 

for(i=0;i<blocks;i++) { 
enloki(c,cp); 
cpt=8 ; 


} 


void loki_dec(loki_ctx *c, unsigned char *data, int blocks){ 
unsigned char *cp; 
int i; 


cp = data; 

for(i=0;i<blocks;i++) { 
deloki(c,cp); 
cpt=8 ; 


void main(void){ 
loki_ctx Ic; 
unsigned long data[10]; 
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unsigned char *cp; 
unsigned char key[] = {0,1,2,3,4,5,6,7}; 
int i; 


for(i=0;7<10;i++) datalil=i; 
loki_key(&lc, key); 


cp = (char *)data; 

loki_enc(&lc,cp,5); 

for(i=0;1<10;i+=2) printf("Block %01d = %081x %081x\n", 
i i/2,data[i],data[i+1]); 

loki_dec(&lc,cp,1); 

loki_dec(&lc,cp+8,4); 

for(i=0;1<10;i+=2) printf("Block %01d = %081x %081x\n", 

i/2,datali],datali+1]); 


A.3 IDEA 

typedef unsigned char boolean; /* values are TRUE or FALSE */ 
typedef unsigned char byte; /* values are 0-255 */ 

typedef byte *byteptr; /* pointer to byte */ 

typedef char *string;/* pointer to ASCII character string */ 
typedef unsigned short wordl6; /* values are 0-65535 */ 
typedef unsigned long word32; /* values are 0-4294967295 */ 


#ifndef TRUE 

#tdefine FALSE 0 

#define TRUE (!FALSE) 

#endif /* if TRUE not already defined */ 

ifndef min /* if min macro not already defined */ 
#define min(a,b) ( (a)<(b) ? (a) : (b) ) 

#define max(a,b) ( (a)>(b) ? (a) : (b) ) 

jendif /* if min macro not already defined */ 


#define IDEAKEYSIZE 16 
#define IDEABLOCKSIZE 8 


#tdefine IDEAROUNDS 8 
#define IDEAKEYLEN (6*IDEAROUNDS+4) 


typedef struct{ 
wordl6 ek[IDEAKEYLEN] ,dk[IDEAKEYLEN]; 
}idea_ctx; 


/* End includes for IDEA.C */ 

#ifdef IDEA32 /* Use >16-bit temporaries */ 

#define lowl6(x) ((x) & OxFFFF) 

typedef unsigned int uintl6;/* at LEAST 16 bits, maybe more */ 
Helse 

define lowl6(x) (x) /* this is only ever applied to uintl6's */ 
typedef wordl6 uintl6; 

#endif 


#ifdef SMALL_CACHE 
static uintl6 
mul(register uintl6 a, register uintl6 b) 
{ 
register word32 p; 


p = (word32)a * b; 
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if (p) I 

b lowl6(p); 

a = p>>16; 

return (b - a) + (b < a); 
} else if (a) 1 

return 1-b; 
| else | 

return l-a; 


} 


} /* mul */ 


#endif 


Static 
mul Inv( 
{ 

uintl6 
uintl6 


/* SMALL_CACHE */ 


uintl6 
uintl6 x) 


t0,. tl; 
q, Y; 


if (x <= 1) 


return x; /* 0 and 1 are self-inverse */ 


tl = Ox10001L / x; /* Since x >= 2, this fits into 16 bits */ 
y = 0x10001L % x; 


if (y == 1) 
return lowl6(1-tl); 
t0 = 1; 
do | 
aki ye 
X=X%y; 
t0 += q * tl; 
if (x == 1) 
return t0; 
q=y x 
y=ykx; 
tl += q * t0; 
} while (y != 1); 


return lowl6(1-tl); 


} /* mukInv */ 


static 


void 


ideaExpandKey(byte const *userkey, wordl6 *EK) 


{ 


int ipis 


for (j=0; j<8; j++) { 
EK[j] = (userkey(0]<<8) + userkey{1]; 
userkey += 2; 

} 

for (i=0; j < IDEAKEYLEN; j++) | 
i++ 
EKLi+7] = EK 
EK += i & 8; 
i &= 7; 


[i & 7] << 9 | EKLit1] & 7] >> 7; 


} 


} /* ideaExpandKey */ 


static 


void 


ideaInvertKey(word16 const *EK, word16 DK[IDEAKEYLEN]) 


int i; 

uintl6 tl, t2, t3; 

word16 temp[IDEAKEYLEN]; 
wordl6 *p = temp + IDEAKEYLEN; 


tl = mullnv(*EK++); 


t2 = -*EK++; 
t3 = -*EK++; 
*--p = mulInv(*EK++) ; 
weep = t3; 
*--p = t2; 
tasn = tle 
for (i = 0; i < IDEAROUNDS-1; i++) { 
tl = *EK+; 
*--p = SEKFE: 
weep! = £19 
tl = mulInv(*EK++) ; 
t2 = -*EKt++; 
t3 = -*EK++; 
*--p = mulInv(*EK++) ; 
k-e = ts 
kop = t3; 
wasp = tis 
} 
tl = *EK++; 
*--p = *EK++ 
=p = tls 
tl = mul Inv(*EK++) ; 
t2 = -*EK++; 
t3 = -*EK++; 
*--p = mulinv(*EK++); 
Fep = t3; 
*--p = t2; 
*--p = tl; 


/* Copy and destroy temp copy */ 
memcpy(DK, temp, sizeof(temp)); 
for(i=0;1<IDEAKEYLEN; i++) temp(i J=0; 

} /* jdealInvertKey */ 


#ifdef SMALL_CACHE 

#define MUL(x,y) (x = mul(lowl6(x),y)) 

#telse /* !SMALL_CACHE */ 

#ifdef AVOID_JUMPS 

#define MUL(X,y) (x = lowl6(x-1), t16 = lowl6((y)-1), \ 
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t32 = (word32)x*t16 + x + t16 + 1, x = lowl6(t32), \ 


t16 = t32>>16, x = (x-tl6) + (x<t16) ) 
#else /* !AVOID_JUMPS (default) */ 
define MUL(x,y) \ 
((t16 = (y)) ? \ 
(x=lowl6(x)) ? \ 
t32 = (word32)x*tl6, \ 
x = Jowl6(t32), \ 
t16 = t32>>16, \ 
x = (x-t16)+(x<t16) \ 


(x = 1=t16) \ 


(x = 1-x)) 
#endif 
#endif 


static void 
ideaCipher(byte *inbuf, byte *outbuf, wordl6 *key) 
{ 
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register uintl6é xl, x2, x3, x4, s2, s3; 
wordl6 *in, *out; 
#ifndef SMALL_CACHE 
register uintl6 t16; /* Temporaries needed by MUL macro 
register word32 t32; 
#endif 
int r = IDEAROUNDS; 


in = (wordl6 *)inbuf; 

Xl = tintti R2 = Fie; 

X3 = itty X4 = ins 
#ifndef HIGHFIRST 


xl = (xl >>8) | (x1<<8); 
x2 = (x2 >>8) | (x2&8B); 
X3 = (43 >>8) | (x3<<8); 
x4 = (x4 >>8) | (x4<<8); 
#endif 
do 1 


MUL(xl,*key++); 
x2 += *key++; 
x3 += *keyt++; 
MUL(x4, *key++); 


s3 = x3; 

x3 ^= xl; 
MUL(x3, *key++); 
S2 = x23 

x2 ^= x4; 

x2 += x3; 
MUL(x2, *key++); 
x3 += x2; 


xl ^= x2; x4 ^= x3; 


x2 ^= 53; x3 ^= 82; 
} while (--r); 
MUL(xl, *key++); 
x3 += *key++; 
x2 += *key++; 
MUL(x4, *key); 


out = (wordl6 *)outbuf; 
#ifdef HIGHFIRST 
*out++ = xl; 
xOut++ = x3; 
*outt++ = x2; 
*out = x4; 
#else /* !HIGHFIRST */ 
*out++ = (xl >>8) (x1<<B); 
*outt+ = (x3 >>8) | (x3<<8); 
*outt++ = (x2 >>8) | (x2<<8); 
*out = (x4 >>8) | (x4<<8); 
#endif 
} /* ideaCipher */ 


void idea_key(idea_ctx *c, unsigned char *key){ 
jdeaExpandKey(key,c->ek); 
idealnvertKey(c->ek,c->dk); 

| 


void idea_enc(idea_ctx *c, unsigned char *data, int blocks){ 
int i; 
unsigned char *d = data; 


*/ 


for(i=0;i<blocks;i++)! 
ideaCipher(d,d,c->ek); 
d+=8; 


} 


void idea_dec(idea_ctx *c, unsigned char *data, int blocks){ 
int i; 
unsigned char *d = data; 


for(i=0;i<blocks; i++) | 
ideaCipher(d,d,c->dk) 
d+=8 ; 


} 
#include <stdio.h> 


#ifndef BLOCKS 
#ifndef KBYTES 
#define KBYTES 1024 
#endif 
#define BLOCKS (64*KBYTES) 
#endif 
int 
main(void) 
{ /* Test driver for IDEA cipher */ 
THE iy diy. KE 
idea_ctx C; 
byte userkey[16]; 
word16 EKLIDEAKEYLEN], DK{IDEAKEYLEN]; 
byte XX[8], YY[8], 22(8]; 
word32 long_block[10]; /* 5 blocks */ 
long 1; 
char *1bp; 


/* Make a sample user key for testing... */ 
for(i=0; 1<16; i++) 
userkeyLi] = i+]; 


jdea_key(&c,userkey); 


/* Make a sample plaintext pattern for testing... */ 
for (k=0; k<8; k++) 
XX[k] = k; 


idea_enc(&c,XX,1); /* encrypt */ 


lbp = (unsigned char *) long_block; 

for(i=0;1<10;i++) long_block[i] = i; 

idea_enc(&c,]bp,5); 

for(i=0;1<10;i+=2) printf("Block %01d = %081x %081x.\n", 


1/2, long_block[i],]long_block{itl]); 


idea_dec(&c,1bp,3); 
idea_dec(&c, lbp+24,2); 


for(i=0;1<10;i+=2) printf("Block %0ld = %081x %081x.\n", 
i/2,long_block{i],]ong_block[i+1l]); 


return 0; /* normal exit */ 
} /* main */ 
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A.4 GOST 


typedef unsigned long u4; 
typedef unsigned char byte; 


typedef struct | 
u4 k[8]; 
/* Constant s-boxes -- set up in gost_init(). */ 
char k87(256],k65(256),k43[256],k21[256]; 

} gost_ctx; 


/* Note: encrypt and decrypt expect full blocks--padding blocks is 
caller's responsibility. All bulk encryption is done in 
ECB mode by these calls. Other modes may be added easily 
enough. 

void gost_enc(gost_ctx *, u4 *, int); 

void gost_dec(gost_ctx *, u4 *, int); 

void gost_key(gost_ctx *, u4 *); 

void gost_init(gost_ctx *); 

void gost_destroy(gost_ctx *); 


#ifdef alpha /* Any other 64-bit machines? */ 
typedef unsigned int word32; 

#else 

typedef unsigned long word32; 

#endif 


kboxinit(gost_ctx *c) 
{ 


int i; 
byte k8[16] = {14, 4, 13, 1, 2, 15, 11, 8, 3, 10, 6, 
ies 5, 9, 0, 7 ds 
byte k7(16] = {15, 1, 8, 14, 6, 11, 3, 4, 9, 7, 2, 
a 12, 0% 5, 10 ts 
byte k6(16] = 110, 0, 9) 14; 6s 3, 25, 5, l, 13, 12, 
Ta Li, 4, 2) 8 48 
byte k5[16] = { 7, 13, 14, 3, 0, 6, 9, 10, 1, 2, 8, 
5, Ll, 22, 45 15 la 
byte KALLET = (2, 12; 45 ls 7a 10, 11, 6, 8, Sh 3, 
15, Bi 0; M 9 k 
byte k3(16] = (12, 1, 10, 15, 9, 2, 6, 8, 0; 13, 3, 
4, 14, 7, 5S, Woody 
byte k2[16] = { 4, 11, 2, 14, 15, 0, 8, 13, 3, 12, 9, 
7; By 10, Gy 1 ds 
byte KI(I6] = (18, 2, 8; 4, 6, TS, 1, Ia 105 9 3 
14, 5, 0, 22, 7 5 


for (i = 0; i < 256; i++) | 


c->k87[i] = k8Li >> 4] << 4 | k7[i & 15); 
c->k65[i] = k6[i >> 4] << 4 | k5[i & 15); 
c->k43[i] = k4[i >> 4] << 4 | k3Li & 15]; 
c->k21[i] = k2[i >> 4] << 4 | kl[i & 15]; 


} 


static word32 
f(gost_ctx *c,word32 x) 
{ 
x = C->k87[x>>24 & 255] << 24 | c->k65[x>>16 & 255] << 16 | 
c->k430x>> 8 & 255] << 8 | c->k21[x & 255]; 


/* Rotate left 11 bits */ 


return x< 
} 


<11 | 


x>>(32-11); 


void gostcrypt(gost_ctx *c, word32 *d){ 


register word32 nl, n2; /* As named in the GOST */ 


nl 
n2 


d 
d 


/* Instead of swapping halves, swap names each round */ 


[Os 
ELls 


n2 ^= f(c,nl+c->k[0]); 


n2 ^= 
n2 ^= 
n2 ^= 


n2 ^= 
n? ^= 
n2 ^= 
n2 ^= 


n2 ^= 
n2 ^= 
n2 ^= 
n2 ^= 


n2 ^= 
n2 ^= 
n2 ^= 
n2 ^= 


f(c,nl+c- 
f(c,nl+c- 
f(c,nl+c- 


fec NI+E - 
f(c,nltc- 
fic, nire: 
f(c,nltc- 


f(c,nl+c- 
FCC MLE - 
f(c,nl+c- 
f(c,nl+c- 


f(c,nl+c- 
f(c,nl+c- 
f(c,nl+c- 
f(c,nl+c- 


>k[2]); 
>k[4]); 
>k[6]); 


>k[0]); 
>k[2]); 
>k[4]); 
>k[6]); 


>k[0]); 
>k[2]); 
>k[4]); 
>k[6]); 


>k£7]); 
KES Yy 
>kO3]); 
>k[1]); 


d[0] = n2; d[1] = nl; 


} 


void 


nl ^= f(c,n2tc->k[1] 


nl 
nl 
nl 


nl 
nl 
nl 
nl 


nl 
nl 
nl 
nl 


nl 
nl 
nl 
nl 


gostdecrypt(gost_ctx *c, u4 *d){ 


register word32 nl, n2; /* As named in the GOST */ 


nl = d[0]; n2 = d[1]; 


n2 ^= f(c,nl+c->k[0]); 


n2 ^= 
n2 ^= 
n2 ^= 


n2 ^= 
n2 ^= 
n2 ^= 
n2 ^= 


n2 ^= 
n2 ^= 
n2 ^= 
n2 ^= 


n2 ^= 
n2 ^= 
n2 ^= 
n2 ^= 


f(c, nl+c- 
f(c,nl+c- 
f(c,nl+c- 


f(c,nl+c- 
f(c,nl+c- 
f(c,nl+c- 
f(c,nl+c- 


f(c,nl+c- 
f(c,nl+c- 
FICE iN LAE 
f(c,nl+c- 


f(c,nl+c- 
f(c,nl+c- 
EDD 
->k[1]); 


f(c,nl+c 
f(c,nl+c 


>k[2]); 
>k[4]); 
>k[6]); 


>k[7]); 
>k[5]); 
>k[3]); 
>k[1]); 


>k[7]); 
>k[5]); 
>k[3]); 
SRCI D; 


SL I); 
>K[5]); 


d[0] = n2; d[1] = nl; 


} 


nl 
nl 
nl 
nl 


nl 
nl 
nl 
nl 


nl 
nl 
nl 
nl 


nl 
nl 
nl 
nl 


void gost_enc(gost_ctx *c, u4 *d, 


int 1; 


A= 


N= 
A= 


f(c,n2+c->k[3] 
f(c,n2+c->k[5] 
f(c,n2+c->k{7] 


f(c,n2+c->k(1] 
f(c,n2+c->k(3] 
f(c,n2+c->k[5] 


f(c,n2+c->k[7] 





f(c,n2+c->k[1] 
f(c,n2t+c->k[3] 
f(c,n2+c->k[5] 


f(c,n2+c->k(7] 





”ld FS 


f(c,n2+c->k[6]) 
f(c,n2+c->k[4]) 
f(c,n2+c->k[2]) 





= f(c,n2+c->k[0]) 


f(c,n2+c->k[1]) 
f(c,n2+c->k[3]) 


= f(c,n2+c->k[5]) 


f(c,n2+c->k[7]) 


f(c,n2+c->k[6]) 
f(c,n2+c->k[4]) 
f(c,n2+c->k[2]) 


= f(c,n2+c->k[0]) 


f(c,n2+c->k[6]) 
f(c,n2+c->k[4]) 
f(c,n2+c->k[2]) 


f(c,n2+c->k[6]) 
f(c,n2+c->k[4]) 
f(c,n2+c->k[2]) 
f(c,n2+c->k[0]) 


int blocks) { 


’ 
? 
》 
, 


’ 


, 
, 
’ 
’ 
》 
’ 


= f(c,n2+c->k[0]); 


, 
’ 
’ 


, 
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for(i=0;i<blocks;i++){ 
gostcrypt(c,d); 
d+=2; 


} 


void gost_dec(gost_ctx *c, u4 *d, int blocks){ 
THe T: 


for(i=0;i<blocks;i++){ 
gostdecrypt(c,d); 
d+=2; 
} 


void gost_key(gost_ctx *c, u4 *k){ 

int i; 

for(i=0;i<8;i++) c->k[i]=k[i]; 
} 


void gost_init(gost_ctx *c){ 
kboxinit(c); 
} 


void gost_destroy(gost_ctx *c){ 

int i; 

for(i=0;1<8;i++) c->k[i]=0; 
} 


void main(void){ 
gost_ctx gc; 
u4 k(8],data[10]; 
int i; 
/* Initialize GOST context. */ 
gost_init(&gc); 


/* Prepare key--a simple key should be OK, with this many rounds! */ 
for(i=0;1<8;i++) k[i] = i; 
gost_key(&gc,k); 


/* Try some test vectors. */ 
data[0] = 0; data[1] = 0; 


gostcrypt(&gc,data); 
printf("Enc of zero vector: %081x %081x\n" ,data[0],data[1]); 
gostcrypt(&gc, data); 
printf("Enc of above: %081x %081x\n" ,data[0],data[1]); 


data[0] = Oxffffffff; data[1] = Oxffffffff; 
gostcrypt(&gc,data); 

printf("Enc of ones vector: %081x %081x\n",data[0],data(1]); 
gostcrypt(&gc,data); 

printf("Enc of above: %081x %081x\n",datal0],data(l]); 


/* Does gost_dec() properly reverse gost_enc()? Do 
we deal OK with single-block lengths passed in gost_dec()? 
Do we deal OK with different lengths passed in? */ 


/* Init data */ 
for(i=0;i<10;i++) dataliJ=i; 


/* Encrypt data as 5 blocks. */ 
gost_enc(&gc,data,5); 


/* Display encrypted data. */ 
for(i=0;1<10;i+=2) printf("Block %02d = %081x %081x\n", 


i/2,data[i],data[i+1]); 


/* Decrypt in different, sized chunks. */ 

gost_dec(&gc,data,1); 

gost_dec(&gc,datat2,4); 

printf("\n"); 

/* Display decrypted data. */ 

for(i=0;1<10;i+=2) printf("Block %02d = %081x %081x\n", 
i/2,data[i],data[i+1]); 


gost_destroy(&gc); 


A.5 BLOWFISH 


#include <math.h> 

#include <stdio.h> 

#Hinclude <stdlib.h> 

#include <time.h> 

#ifdef little_endian /* Eg: Intel */ 
#include <alloc.h> 

endif 


#include <ctype.h> 


#ifdef little_endian /* Eg: Intel */ 
#include <dir.h> 
#include <bios.h> 

#endif 


#ifdef big_endian 
#include <Types.h> 
#endif 


typedef struct { 
unsigned long S[4][256],P[18]; 


} blf_ctx; 

#define MAXKEYBYTES 56 /* 448 bits */ 

// +#define little_endian 1 /* Eg: Intel */ 
#define big_endian 1 /* Eg: Motorola */ 


附录 A kh K 码 


void Blowfish_encipher(blf_ctx *,unsigned long *xl, unsigned long *xr); 
void Blowfish_decipher(blf_ctx *,unsigned long *x1, unsigned long *xr); 


#define N 16 
#define noErr 0 
#define DATAERROR =] 
#define KEYBYTES 8 
FILE* SubkeyFile; 


unsigned long F(blf_ctx *bc, unsigned long x) 
{ 
unsigned short a; 
unsigned short b; 
unsigned short c; 
unsigned short d; 
unsigned long y; 
d = x & OxOOFF; 
x >>= 8; 
c = x & OxOOFF; 
x >>= 8; 
b= x & 0x00FF; 


461 


462 + 附录 A RK B 


x >>= 8; 

a = x & 0x00FF; 

//y = ((SCOJCa] + S[1][b]) ^ S[2][c]) + SC3JCd]; 
y = bc->S[0][a] + bc->S[1][b]; 

y = y ^ be->S[2]{c]; 

y = y + bc->S[3][d]; 


return y; 
} 


void Blowfish_encipher(blf_ctx *c,unsigned long *xl, unsigned long *xr) 
{ 

unsigned long Xl; 

unsigned long Xr; 

unsigned long temp; 

short 1; 


Xl = *xl; 
XP = 


for (i = 0; i < N; ++i) | 
Xl = X1 ^ c->PLil; 
Xr = F(c,X1) ^ Xr; 


temp = Xl; 

XI = Xr; 

Xr = temp; 
} 


temp = Xl; 
Xl = Xr; 
Xr = temp; 


Xr = Xr ^ c->PN]; 
Xl = X1 ^ c->P[N + 1]; 


*x] = Xl; 
*xr = Xr; 
} 


void Blowfish_decipher(blf_ctx *c, unsigned long *xl, unsigned long *xr) 
{ 

unsigned long Xl; 

unsigned long Xr; 

unsigned long temp; 

short 1% 


X1 = *x]; 
Xr = *xr; 
for (i =N+1; i> 1; --i) { 
Xl = X1 ^ c->P[i]; 
Xr = F(c,X1) ^ Xr; 


/* Exchange X1 and Xr */ 
temp = Xl; 
Xl = Xr; 
Xr = temp; 
} 


/* Exchange X] and Xr */ 
temp = X1; 

Xl = Xr; 

Xr = temp; 


附录 A 源 代 码 + 463 


Xr = Xr ^ c->PC1)s3 


Xl = X1 = ¢-dP[ODs 
xx] = XI; 
xp = Xr; 


short InitializeBlowfish(blf_ctx *c, char key[], short keybytes) 


short ig 

short Jg 

short k; 

short error; 
short numread; 


unsigned long data; 


unsigned long datal; 
unsigned long datar; 


unsigned long ksO{] = | 

0xd1310ba6, Ox98dfb5ac, Ox2ffd72db, OxdOladfb7, Oxb8elafed, 0x6a267e96, 
Oxba7c9045, Oxfl2c7f99, 0x24a19947, Oxb3916cf7, Ox0801f2e2, 0x858efc16, 
0x636920d8, 0x71574e69, Oxa458fea3, Oxf4933d7e, 0x0d95748F, 0x728eb658, 
0x718bcd58, 0x82154aee, Ox7b54a41d, 0xc25a59b5, 0x9c30d539, Ox2af26013, 
Oxc5d1b023, 0x286085f0, 0xca417918, Oxb8db38ef, Ox8e79dcb0, 0x603a180e, 
Ox6c9e0e8b, OxbOle8a3e, Oxd71577cl, Oxbd314b27, Ox78af2fda, 0x55605c60, 
0xe65525f3, Oxaa55ab94, 0x57489862, 0x63e81440, 0x55ca396a, Ox2aabl0b6, 
Oxb4cc5c34, 0xll4le8ce, Oxal5486af, 0x7c72e993, Oxb3eel411, 0x636fbc2a, 
Ox2ba9c55d, 0x741831f6, Oxce5c3e16, 0x9b87931le, Oxafd6ba33, Ox6c24cf5c, 
0x7a325381, 0x28958677, 0x3b8f4898, Ox6b4bb9af, Oxc4bfe8lb, 0x66282193, 
0x61d809cc, Oxfb21a991, 0x487cac60, Ox5dec8032, Oxef845d5d, 0xe98575b1, 
Oxdc262302, Oxeb651b88, 0x23893e81, Oxd396acc5, Ox0f6d6ff3, 0x83f44239, 
0x2e0b4482, 0xa4842004, 0x69c8f04a, Ox9elf9b5e, 0x21c66842, Oxf6e96cC9a, 
0x670c9c61, Oxabd388F0, Ox6a51a0d2, Oxd8542f68, 0x960fa728, 0xab5133a3, 
Ox6eef0b6c, 0x137a3be4, Oxba3bf050, Ox7efb2a98, Oxalfl651d, Ox39af0176, 
0x66ca593e, 0x82430e88, Ox8cee8619, 0x456f9fb4, 0x7d84a5c3, Ox3b8b5ebe, 
Oxe06f75d8, 0x85c12073, 0x401a449Ff, 0x56cl6aa6, Ox4ed3aa62, 0x363f7706, 
Oxlbfedf72, 0x429b023d, 0x37d0d724, 0xd00a1248, OxdbOfead3, 0x49f1c09b, 
0x075372c9, 0x80991b7b, 0x25d479d8, Oxf6e8def7, Oxe3feS0la, 0xb6794c3b, 
0x976ce0bd, 0x04c006ba, Oxcla94fb6, 0x409f60c4, OxS5e5c9ec2, 0x196a2463, 
Ox68fb6faf, 0x3e6c53b5, 0x1339b2eb, Ox3b52ec6f, Ox6dfc511f, 0x9b30952c, 
0xcc814544, OxafSebd09, Oxbee3d004, Oxde334afd, 0x660f2807, 0x192e4bb3, 
OxcOcba857, 0x45c8740f, Oxd20b5f39, Oxb9d3fbdb, 0x5579cObd, 0x1a60320a, 
Oxd6al00c6, 0x402c7279, Ox679f25fe, Oxfblfa3cc, Ox8ea5e9f8, Oxdb3222f8, 
Ox3c7516df, Oxfd616b15, Ox2f50lec8, Oxad0552ab, Ox323db5fa, Oxfd238760, 
0x53317b48, Ox3e00df82, Ox9e5c57bb, Oxca6f8ca0, Oxla87562e, 0xdf1769db, 
0xd542a8f6, Ox287effc3, Oxac6732c6, 0x8c4f5573, 0x695b27b0, Oxbbca58c8, 
Oxelffa35d, Oxb8f011a0, Oxl0fa3d98, Oxfd2183b8, Ox4afcb56c, Ox2dd1d35b, 
0x9a53e479, Oxb6f84565, Oxd28e49bc, Ox4bfb9790, Oxelddf2da, Oxa4cb7e33, 
Ox62fb1341, Oxceedc6e8, Oxef20cada, 0x36774c01, OxdO7e9efe, Ox2bfllfb4, 
Ox95dbda4d, 0xae909198, Oxeaad8e71, 0x6b93d5a0, OxdO08ed1d0, Oxafc725e0, 
Ox8e3c5b2f, 0x8e7594b7, Ox8ff6e2fb, Oxf2122b64, 0x8888b812, 0x900df0lc, 
Ox4fad5ea0, Ox688fc3lc, Oxdlcff191, Oxb3a8clad, Ox2f2f2218, 0xbe0el777, 
Oxea752dfe, Ox8b021fal, Oxe5a0ccOf, Oxb56f74e8, Oxl8acf3d6, Oxce89e299, 
Oxb4a84fe0, Oxfdl3e0b7, Ox7cc43b81, Oxd2ada8d9, 0x165fa266, 0x80957705, 
0x93cc7314, 0x211a1477, Oxe6ad2065, Ox77b5fa86, 0xc75442f5, Oxfb9d35cf, 
Oxebcdaf0c, O0x7b3e89a0, Oxd6411bd3, Oxaele7e49, 0x00250e2d, 0x2071b35e, 
0x226800bb, Ox57b8e0af, 0x2464369b, 0xf009b9le, 0x5563911d, 0x59dfa6aa, 
0x78c14389, 0xd95a537f, Ox207d5ba2, Ox02e5b9c5, 0x83260376, Ox6295cfa9, 
0x11c81968, 0x4e734a41, Oxb3472dca, 0x7b14a94a, 0x1b510052, 0x9a532915, 
Oxd60f573f, Oxbc9bc6e4, 0x2b60a476, 0x81e67400, Ox08babfb5, 0x571lbe91f, 
Oxf296ec6b, Ox2a0dd915, 0xb6636521, Oxe7b9f9b6, Oxf f34052e, 0xc5855664, 
Ox53b02d5d, Oxa99f8fal, 0x08ba4799, Ox6e85076a}; 


464 > 附录 A BK B 


unsigned long ksl[] = | 

Ox4b7a70e9, Oxb5b32944, Oxdb75092e, 0xc4192623, Oxad6ea6b0, 0x49a7df7d, 
Ox9cee60b8, Ox8fedb266, Oxecaa8c71, Ox699al7ff, 0x5664526c, Oxc2b19eel, 
0x193602a5, 0x75094c29, 0xa0591340, Oxe4183a3e, 0x3f54989a, 0x5b429d65, 
Oxdb8fe4d6, Ox99f73fd6, Oxald29c07, Oxefe830f5, Ox4d2d38e6, Oxf0255dcl, 
Ox4cdd2086, 0x8470eb26, 0x6382e9c6, 0x02lecc5e, 0x09686b3f, Ox3ebaefc9, 
0x3c971814, Ox6b6a70al, 0x687f3584, 0x52a0e286, 0xb79c5305, 0xaa500737, 
0x3e07841c, Ox7fdeaeSc, OxBe7d44ec, 0x5716f2b8, Oxb03ada37, Oxf0500c0d, 
OxfOlclf04, 0x0200b3ff, OxaeOcf5la, Ox3cb574b2, 0x25837a58, Oxdc0921bd, 
Oxd19113f9, Ox7ca92ff6, 0x94324773, Ox22f54701, Ox3ae5e581, Ox37c2dadc, 
0xc8b57634, Ox9af3dda7, 0xa9446146, Ox0fd0030e, Oxecc8c73e, 0xa475le41, 
Oxe238cd99, Ox3bea0e2f, 0x3280bbal, 0x183eb331, 0x4e548b38, Ox4f6db908, 
0x6f420d03, Oxf60a04bf, Ox2cb81290, 0x24977c79, 0x5679b072, Oxbcaf89af, 
Oxde9a771f, 0xd9930810, Oxb38bael2, Oxdcecf3f2e, 0x5512721f, Ox2e6b/124, 
Ox50ladde6, 0x9f84cd87, 0x7a584718, 0x7408dal7, Oxbc9f9abc, Oxe94b7d8c, 
Oxec7aec3a, Oxdb85ldfa, 0x63094366, 0xc464c3d2, Oxeflcl1847, 0x3215d908, 
0xdd433b37, Ox24c2bal6, 0x12a14d43, 0x2a65c451, 0x50940002, 0x133ae4dd, 
Ox71dff89e, 0x10314e55, Ox8lac77d6, Ox5f11199b, 0x043556f1, Oxd7a3c/76b, 
0x3c11183b, 0x5924a509, Oxf28febed, Ox97flfbfa, Ox9ebabf2c, Oxlel53c6e, 
0x86e34570, Oxeae96fbl, Ox860e5e0a, Ox5a3e2ab3, 0x771fe7lc, Ox4e3d06fa, 
0x2965dcb9, 0x99e71d0f, 0x803e89d6, 0x5266c825, Ox2e4cc978, 0x9c10b36a, 
Oxc6150eba, 0x94e2ea78, Oxadfc3c53, OxleOa2df4, Oxf2f74ea7, 0x361d2b3d, 
0x1939260f, 0x19c27960, 0x5223a708, Oxf71312b6, Oxebadfebe, Oxeac31f66, 
Oxe3bc4595, Oxa67bc883, Oxbl7f37d1, Ox018cff28, Oxc332ddef, Oxbe6c5aa5, 
0x65582185, 0x68ab9802, Oxeecea50f, Oxdb2f953b, Ox2aef7dad, Ox5b6e2f84, 
0x1521b628, 0x29076170, Oxecdd4775, 0x619f1510, 0xl3cca830, Oxeb61bd96, 
0x0334fele, Oxaa0363cf, 0xb5735c90, 0x4c70a239, Oxd59e9e0b, Oxcbaadel4, 
Oxeecc86bc, 0x60622ca7, Ox9cab5cab, Oxb2f3846e, Ox648bleaf, Oxl9bdf0ca, 
0xa02369b9, 0x655abb50, 0x40685a32, Ox3c2ab4b3, 0x319ee9d5, 0xc021b8f7, 
0x9b540b19, 0x875fa099, Ox95f7997e, 0x623d7da8, Oxf837889a, 0x97e32d77, 
Oxlled935f, 0x16681281, 0x0e358829, Oxc7e61fd6, Ox96dedfal, 0x7858ba99, 
0x57f584a5, 0x1b227263, Ox9b83c3ff, Oxlac24696, Oxcdb30aeb, 0x532e3054, 
Ox8fd948e4, Ox6dbc3128, Ox58ebf2ef, 0x34c6ffea, Oxfe28ed61, Oxee7c3c73, 
0x5d4a14d9, Oxe864b7e3, 0x42105d14, 0x203e13e0, Ox45eee2b6, Oxa3aaabea, 
Oxdb6c4f15, Oxfacb4fd0, Oxc742f442, Oxef6abbb5, 0x654f3bld, 0x41cd2105, 
Oxd81e799e, 0x86854dc7, 0xe44b476a, 0x3d816250, Oxcf62alf2, 0x5b8d2646, 
Oxfc8883a0, Oxclc7b6a3, 0x7f1524c3, 0x69cb7492, 0x47848a0b, 0x5692b285, 
Ox095bbf00, Oxad19489d, 0x1462b174, 0x23820e00, 0x58428d2a, Ox0c55f5ea, 
Oxldadf43e, 0x233f7061, 0x3372f092, 0x8d937e41, Oxd65fecfl, Ox6c223bdb, 
Ox7cde3759, Oxcbee7460, 0x4085f2a7, Oxce77326e, 0xa6078084, 0x19f8509e, 
Oxe8efd855, 0x61d99735, 0xa969a7aa, Oxc50c06c2, Ox5a04abfc, Ox800bcadc, 
0x9e447a2e, 0xc3453484, Oxfdd56705, Ox0ele9ec9, Oxdb73dbd3, 0x105588cd, 
Ox675fda79, 0xe3674340, 0xc5c43465, 0x713e38d8, 0x3d28f89e, Oxflédff20, 
Ox153e21le7, Ox8fb03d4a, Oxe6e39f2b, Oxdb83adf7}; 

unsigned long ks2[] = | 

Oxe93d5a68, 0x948140f7, Oxf64c261c, 0x94692934, 0x411520f7, 0x7602d4f7, 
Oxbcf46b2e, 0xd4a20068, 0xd4082471, 0x3320f46a, 0x43b7d4b7, 0x50006laf, 
Oxle39f62e, 0x97244546, 0x14214f74, Oxbf8b8840, Ox4d95fcld, Ox96b59 laf, 
Ox70f4ddd3, 0x66a02f45, OxbfbcO9ec, 0x03bd9785, Ox7fac6dd0, 0x31cb8504, 
Ox96eb27b3, Ox55fd3941, Oxda2547e6, Oxabca0a9a, 0x28507825, 0x530429F4, 
0x0a2c86da Oxe9b66dfb, 0x68dc1462, 0xd7486900, 0x680ec0a4, 0x27al8dee, 
Ox4f3ffea2, 0xe887ad8c, Oxb58ce006, Ox7af4d6b6, Oxaacele7c, 0xd3375fec, 
Oxce78a399, 0x406b2a42, Ox20fe9e35, Oxd9f385b9, Oxee39d7ab, 0x3b124e8b, 
Oxldc9faf7, 0x4b6d1856, 0x26a36631, Oxeae397b2, Ox3abefa74, Oxdd5b4332, 
0x6841e7f7, Oxca7820fb, OxfbOafS4e, Oxd8feb397, 0x454056ac, 0xba489527, 
0x55533a3a, 0x20838d87, Oxfe6ba9b7, 0xd096954b, 0x55a867bc, 0xal159a58, 
Oxcca92963, 0x99eldb33, 0xa62a4a56, Ox3f3125f9, Ox5ef47elc, 0x9029317c, 
Oxfdf8e802, 0x04272F70, Ox80bb155c, 0x05282ce3, 0x95c11548, Oxe4c66d22, 
0x48c1133f, Oxc70f86dc, 0x07f9c9ee, 0x41041f0f, 0x404779a4, 0x5d886el7, 
Ox325f5leb, Oxd59bcOd1, Oxf2bcc18f, 0x41113564, 0x257b7834, 0x602a9c60, 
Oxdff8e8a3, Oxlf636clb, OxOel2b4c2, 0x02e1329e, Oxaf664fdl, Oxcad18115, 
0x6b2395e0, 0x333e92e1, 0x3b240b62, Oxeebeb922, 0x85b2a20e, Oxe6ba0d99, 


Oxde720c8c, 
0x5449a36f , 
Ox3a6f6eab, 
0xc67b5510, 
0xb5390f92, 
Oxbb132f88, 
0x8026e297, 
0x6a124237, 
Ox3d25bdd8, 
Ox64af674e, 
0x60787bf8, 
0x83426b33, 
0x55464299, 
0x5366f9c3, 
0x846a0e79, 
Oxb90bacel, 
0x662d09al, 
Oxlab93d1d, 
Oxale2ce9b, 
Ox9af88c27, 
0x006058aa, 
Oxbbcbee56, 
0x39720a3d, 
0xed545578, 
0xa28514d9, 
0xd79a3234, 


Ox2da2f728, 
0x877d48fa, 
Oxf4f8fd37, 
0x6d672c37, 
0x690fed0b, 
0x515bad24, 
Oxf42e3l12d, 
0xb79251e7, 
Oxe2elc3c9, 
Oxda86a85f, 
0x6003604d, 
OxfOleab71, 
Oxbf582e61, 
0xc8b38e74, 
0x915f95e2, 
Oxbb8205d0, 
0xc 4324633, 
0x0ba5a4df, 
0x4fcd7f52, 
0x773f8641, 
0x30dc7d62, 
0x90bcb6de, 
0x7c927c24, 
Ox08fca5b5, 
0x6c51133c, 
0x92638212, 


unsigned long ks3[] = | 


0x3a39ce37, 
0xd3822740, 
Oxb78c1b6b, 
0xc6a376d2, 
Ox2939bbdb, 
Ox63ef8ce2, 
0x83c061ba, 
0x4ba99586, 
0x80e4a915, 
Ox2cf0b7d9, 
Ox1f9f25cf, 
0x47b0acfd, 
0x785f0191, 
0x03a16125, 
Oxlb3f6d9b, 
0x03563482, 
0x4de81751, 
0x5121ce64, 
Oxa2ae0810, 
Ox586cdecf, 
Oxdda26a7e, 
0x8d6612ae， 
0x740e0d8d, 
0x34d2466a, 
Ox6f3f3b82, 
Oxbb3a792b, 
Oxe0lcc87e, 
OxdOdadecb, 
Oxf79e59b7, 
Ox0f91fc71, 
0xb6c1075e, 
0x4c98a0be, 
0x1b0a7441, 
Oxe60b6f47, 
0x1618b166, 


Oxd3faf5cf, 
Ox99bc9bbe, 
0x21a19045, 
0x6549c2c8, 
0xa9ba4650, 
O0x9a86ee22, 
0x9be96a4d, 
Oxef5562e9, 
0x87b08601, 
0x022b8b51, 
Oxadf2b89b, 
Oxed93fa9b, 
0xed756055, 
0x0564f0bd, 
0x1e6321f5, 
Ox8aba3cbb, 
0x3830dc8e, 
0x774fbe32, 
Oxdd6db224, 
Oxlc20c8ae, 
0x3a59ff45， 
Oxbf3c6f47, 
0xe75b1357, 
0x0115af84, 
0x3520ab82, 
0x344525bd, 
Oxbcc7d1f6, 
Oxd50ada38, 
0x43f5bb3a, 
0x9b941525, 
O0xe3056a0c, 
0x3278e964, 
0x4ba3348c, 
Ox0fe3flld, 
Oxfd2c1d05, 


0xd0127845, 
Oxc39dfd27, 
0xa812dc60, 
0x2765d43b, 
Ox667b9ffb, 
0x7b9479bf , 
0x6842ada7, 
Ox06albbe6, 
0x44421659, 
Oxbebfe988, 
Oxd1fd8346, 
0xb0804187, 
0x4e58f48f ， 
0xb475f255 ， 
0x466e598e, 
0x11a86248, 
Oxe85alf02, 
Oxal86f20f, 
0x50115e01, 
0xc3604c06, 
Oxlle69ed7, 
Oxebfc7dal, 
0x86e3725f, 
0xd83d7cd3, 
Ox6fd5c7e7, 
0x670efa8e, 


Oxabc27737, 
0xd5118e9d, 
Oxb26eblbe, 
0x530ff8ee, 
0xac9526e8, 
Oxc089c2b8, 
0x8fe51550, 
Oxc72fefd3, 
0x9b09e6ad, 
0x96d5ac3a, 
0x5ad6b472, 
Oxe8d3c48d, 
Oxf7960e44, 
Oxc3eb9el5, 
Oxf59c66fb, 
0x28517711, 
0x379d5862, 
Oxa8b6e37e, 
0x69852dfd, 
Ox5bbef7dd, 
0x3e350a44, 
0xd29be463, 
0xf8721671, 
0xe1b00428, 
Ox0llald4b, 
0xa08839el, 
Oxcf0lllc3, 
0x0339c32a, 
Oxf2d519ff, 
Oxfae59361, 
0x10d25065, 
0x9f1f9532, 
0xc5be7120, 
0xe54cda54, 
0x848fd2c5, 


0x95b794fd, 0x647d0862, 
0xf33e8dle, 0x0a476341, 
Oxalebddf8, 0x991bel4c, 
Oxdcd0e804, 0xf1290dc7, 
0xcedb7d9c，0xa091cf0b， 
Ox763bd6eb, 0x37392eb3, 
Oxc66a2b3b, 0x12754ccc, 
0x4bfb6350, 0x1a6b1018, 
0x0a121386, Oxd90cec6e, 
Ox64e4c3fe, 0x9dbc8057, 
Oxf6381fb0, 0x7745ae04, 
Ox3c005e5f, 0x77a057be, 
Oxf2ddfda2, Oxf474ef38, 
Ox46fcd9b9, Ox7aeb2661, 
0x20b45770, 0x8cd55591, 
0x7574a99e, Oxb77f19b6, 
Ox09f0be8c, 0x4a99a025, 
0x2868f169, Oxdcb7da83,° 
0xa70683fa, Oxa002b5c4, 
0x61a806b5, Oxf0177a28, 
0x2338ea63, 0x53c2dd94, 
Oxce591d76, 0x6f05e409, 
0x724d9db9, Oxlacl5bb4, 
Ox4dad0fc4, Oxle50ef5e, 
0x56e1l4ec4, Ox362abfce, 


0x406000e0} ; 


Ox5ac52d1b, Ox5cb0679e, 
Oxbf0f7315, Oxd62dlc7e, 
0x6a366eb4, 0x5748ab2f, 
0x468dde7d, Oxd5730ald, 
Oxbe5ee304, Oxalfad5f0, 
0x43242ef6, Oxad5le03aa, 
Oxba645bd6, O0x2826a2f9, 
Oxf752f7da, 0x3f046f69, 
0x3b3ee593, Oxe990fd5a, 
0x017da67d, Oxdlcf3ed6, 
0x5a88f54c, Oxe029ac71, 
O0x283b57cc, Oxf8d56629, 
Oxe3d35e8c, 0x15056dd4, 
0x3c9057a2, 0x9727laec, 
Ox26dcf319, 0x7533d928, 
Oxc20ad9f8, Oxabcc516/7, 
0x9320f991, Oxea7a90c2, 
0xc3293d46, 0x48de5369, 
0x09072166, 0xb39a460a, 
0x1b588d40, Oxccd2017f, 
Oxbcb4cdd5, Ox72eacea8, 
0x542f5d9e, Oxaec2771b, 
Oxaf537d5d, 0x4040cb08, 
0x95983ald, Ox06b89fb4, 
0x277227f8, 0x611560b1, 
0x51ce794b, Ox2f32c9b7, 
OxaleBaac7, 0x1a908749, 
0xc6913667, Ox8df931/7c, 
0x27d9459c, Oxbf97222c, 
Oxceb69ceb, 0xc2a86459, 
Oxcb03a442, Oxedec6ele, 
Oxe0d392df, Oxd3a0342b, 
0xc37632d8, Oxdf359f8d, 
Oxledad891, Oxce6279cf, 
Oxf6fb2299, Oxf523f357, 
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0xe7ccf5f0， 
0x992eff74， 
Oxdb6e6b0d, 
OxccO0ffa3, 
0xd9155ea3, 
Oxccl15979, 
Ox782efllc, 
Oxllcaedfa, 
OxdS5abea2a, 
Oxf0f7c086, 
Oxd736fccc, 
Oxbde8ae24, 
0x8789bdc2, 
Ox8blddf84, 
Oxc902de4c, 
Oxe0a9dc09, 
Oxld6efel0, 
0x573906fe, 
Ox0de6d027, 
Oxc0f586e0, 
Oxc2c21634, 
0x4b7c0188, 
Oxd39eb8fc, 
Oxbl61le6f8, 
Oxddc6c837, 


0x4fa33742, 
Oxc700c47b, 
Oxbc946e79, 
Ox4cd04dcé6, 
0x6a2d519a, 
Ox9cf2d0a4, 
Oxa73a3ael, 
0x77fa0a59, 
0x9e34d797, 
Ox7c7d2d28, 
Oxe019a5e6, 
0x79132e28, 
0x88f46dba, 
0xa93a072a, 
Oxb155fdf5, 
Oxccad925f, 
Oxfb3e7bce, 
0x6413e680, 
0x6445c0dd, 
O0x6bb4e3bb, 
Oxfa6484bb, 
0xf64e6370, 
Ox4eb4e2cc, 
Oxce6ea048, 
0xe7933fdc, 
Oxa0lfbac9, 
Oxd44fbd9a, 
0xe0b12b4f ， 
Oxl5e6fc2a, 
Oxl2baa8dl, 
0x1698db3b, 
0x8971f21e, 
0x9b992f2e, 
Oxcd3e/7e6f, 
0xa6327623, 
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0x93a83531, 0x56cccd02, Oxacf08162, 0x5a75ebb5, 0x6e163697, 0x88d273cc, 
0xde966292, 0x81b949d0, 0x4c50901b, 0x71c65614, Oxe6c6c7bd, 0x327a140a, 
0x45e1d006, Oxc3f27b9a, Oxc9aa53fd, 0x62a80f00, 0xbb25bfe2, 0x35bdd2f6, 
0x71126905, 0xb2040222, Oxb6cbcf7c, Oxcd769c2b, 0x53113ec0, 0x1640e3d3, 
0x38abbd60, 0x2547adf0, 0xba38209c, Oxf746ce76, 0x77afalc5, 0x20756060, 
0x85cbfe4e, 0x8ae88dd8, 0x7aaaf9b0, Ox4cf9aa7e, 0x1948c25c, 0x02fb8a8c, 
0x01c36ae4，0xd6ebelf9，0x90d4f869，0xa65cdea0，0x3f09252d，0xc208e69f ， 
0xb74e6132, 0xce77e25b, 0x578fdfe3, 0x3ac372e6ł; 


/* Initialize s-boxes without file read. */ 
for(i=0;i<256;i++){ 
c->9[0][i] = ksOlil; 
c->S[1][i] = ksl[i]; 
c->S[2][i] = ks2Cil; 
c->S({3]Ci] = ks3{il; 
} 


j = 0; 
for (i = 0; i < N+ 2; ++i) { 
data = 0x00000000; 
for (k= 0; k <4; ++k) { 
data = (data << 8) | key[j]; 
Jaj Fls 
if (j >= keybytes) { 
J = 05 
} 
} 
c->P[i] = c->PLi] ^ data; 
} 


datal = 0x00000000; 
datar = 0x00000000; 


for (i =0; i < N+ 2; i +=2) | 
Blowfish_encipher(c,&datal, &datar); 


c->PCi] = datal; 
c->P[i + 1] = datar; 
} 


for (i = 0; i < 4; ++i) 1 
for Cj = 0; j < 256; j t= 2) f 


Blowfish_encipher(c,&datal, &datar); 


c->S[i][j] = datal; 
c->SCiJ£j + 1] = datar; 


} 


void blf_key(blf_ctx *c, char *k, int len){ 
InitializeBlowfish(c,k,len); 
} 


void blf_enc(blf_ctx *c, unsigned long *data, int blocks)|( 
unsigned long *d; 
int i; 


d = data; 

for(i=0;i<blocks;it++) { 
Blowfish_encipher(c,d,d+l); 
d += 2; 
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void blf_dec(blf_ctx *c, unsigned long *data, int blocks){ 
unsigned long *d; 
int i; 
d = data; 
for(i=0;i<blocks;it++){ 
Blowfish_decipher(c,d,d+l); 


d += 2; 
} 


void main(void){ 
blif etx ics 
char key[]="AAAAA" ; 
unsigned long data[10]; 
int i; 


for(i=0;1<10;i++) data[i] = i; 


blf_key(&c, key, 5); 

blf_enc(&c,data,5); 

blf_dec(&c,data,1); 

blf_dec(&c,data+2,4); 

for(i=0;1<10;i+=2) printf("Block %01d decrypts to: %081x %081x.\n", 
i/2,dataCij,data(i+l]); 


A.6 3-Way 


define STRT_E  0x0b0b /* round constant of first encryption round */ 
#define STRT_D Oxblbl /* round constant of first decryption round */ 
#define NMBR 11 /* number of rounds is 11 ay 


typedef unsigned long int word32 ; 

/* the program only works correctly if long = 32bits */ 
typedef unsigned long u4; 
typedef unsigned char ul; 


typedef struct | 
u4 k[3],ki[3], ercon{NMBR+1],drcon[NMBR+1]; 
} twy_ctx; 


/* Note: encrypt and decrypt expect full blocks--padding blocks is 
caller's responsibility. All bulk encryption is done in 
ECB mode by these calls. Other modes may be added easily 
enough. uA 


/* destroy: Context. */ 
/* Scrub context of all sensitive data. */ 
void twy_destroy(twy_ctx *); 


/* encrypt: Context, ptr to data block, # of blocks. */ 
void twy_enc(twy_ctx *, u4 *, int); 


/* decrypt: Context, ptr to data block, # of blocks. */ 
void twy_dec(twy_ctx *, u4 *, int); 


/* key: Context, ptr to key data. */ 
void twy_key(twy_ctx *, u4 *); 


I® ACCODE----- BE ee RE ee ee eee */ 
/* End of AC code prototypes and structures. x7 
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void mu(word32 *a) 


{ 
inti a 
word32 b[3] ; 


bCO} = bl1] = b 


for( i=0 ; 1<32 ; 


{ 


bCO] <<= 1 ; DIL] <<= 1 ; BL2J <e 1 ; 


[2] = 0 ; 


; i++ ) 


if(a[0]&1) b[2] |= 1 ; 
if(a{1J&1) b[1] J= 1 ; 
if(a[2]&1) b[0] |= 1 ; 


a[0] >>= 1 ; a[l] >>= 1 ; a[2] >= 1 ; 


} 


a[0] = b[0] ; 
} 


void theta(word 
{ 
word32 b[3]; 


b[0] = a[0] ^ 
DEIJ = afl] ^ 
b[2] = a(2] ^ 
a[0] = b[0] ; 


} 


a[l] = 


32 *a) 


(a[0]>>16) 
(a[1]>>24) 
(a[2]>>16) 
(a[1]>>16) 
(a[2]>>24) 
(a[0]>>16) 
(a[2]>>16) 
(a[0]>>24) 
(a[1]>>16) 


a[l] = 


void pi_l(word32 *a) 


{ 


BCI ; 


/* the linear 


^ (af1]<<16) 
^ (a[2)<<8) 
^ (al0]<<16) 
^ (a[2]<<16) 
^ (al0]<<8) 
^ (a[1]<<16) 
^ (a[0]<<16) 
^ (a[1]<<8) 
^ (a[2]<<16) 


bC1] ; 


af0] = (a[0]>>10) ^ (al0]<<22); 
) A (af2]>>31); 


a[2] = (a[2]<<1 
} 


void pi_2(word32 *a) 


{ 
a[0] = (al0]<<1 


} 


void rho(word32 *a) 


{ 

theta(a) ; 
pi_l(a) ; 
gamma(a) ; 
pi_2(a) ; 
} 


void rndcon_gen(word32 strt,word32 *rtab) 


{ 
int 7 5 


) ^(a[0]>>31) ; 
a[2] = (a[2]>>10) ^ (a{2]<<22); 


for(i=0 ; i<=NMBR ; i++ ) 


{ 


rtab[i] = strt ; 


strt <<= 1; 


a[2] = b[2] ; 


step */ 


a S A ee ee | 


/* the round function 


(a[1]>>16) 
(a[2]>>8) 
(a[2]>>24) 
(a[2]>>16) 
(a[0]>>8) 
(a[0]>>24) 
(a[0]>>16) 
(a[1]>>8) 
(a[1]>>24) 


a[2] = b[2] ; 


ai 


/* inverts the order of the bits of a */ 


(a[2]<<16) 
(a[0]<<24) 
(a[0]<<8) 


(a[0]<<16) ^ 


(a[1]<<24) 
(a[1]<<8) ; 
(a[1]<<16) 

(a[2]<<24) 
(a[2]<<8) 


/* generates the round constants */ 


if( strt&0x10000 ) strt ^= 0x11011 ; 
} 
} 


/* Modified slightly to fit the caller's needs. */ 
void encrypt(twy_ctx *c, word32 *a) 
{ 
char i ; 
for( i=0 ; i<NMBR ; i++ ) 
{ 
a[0] ^= c->k[0] ^ (c-dercon[i]<<16) ; 
a[l] ^= c->k[1] ; 
a[2] ^= c->k[2] ^ c->ercon[i] ; 
rho(a) ; 
} 
a[0] ^= c->k[0] ^ (c->ercon[NMBR]<<16) ; 
afl] ^= c->k{1] ; 
a[2] ^= c->k[2] ^ c->ercon[NMBR] ; 
theta(a) ; 
} 


/* Modified slightly to meet caller's needs. */ 
void decrypt(twy_ctx *c, word32 *a) 
{ 


char i ; 


mu(a) ; 
for( i=0 ; i<NMBR ; i++ ) 
{ 
a[0] ^= c->ki[0] ^ (c->drconli}<<16) ; 
all] ^s c->ki[l] ; 
a[2] ^= c->ki[2] ^ c->drcon[i] ; 
rho(a) ; 
} 
a[0] ^= c->ki[0] ^ (c->drcon[NMBR]<<16) ; 
a[l] ^= c=->ki[1] ; 
a[2] ^= c->ki[2] ^ c->drcon[NMBR] ; 
theta(a) ; 
mu(a) ; 
} 


void twy_key(twy_ctx *c, u4 *key){ 

c->ki[0] = c->k[0] = key[0]; 
c->ki[1] = c->k{1] = key[1]; 
c->kil2] = c->k[2] = key[2]; 
theta(c->ki); 

mu(c->ki); 
rndcon_gen(STRT_E,c->ercon); 
rndcon_gen(STRT_D,c->drcon); 


[i 


tt 


} 


/* Encrypt in ECB mode. */ 

void twy_enc(twy_ctx *c, u4 *data, int blkent){ 
u4 *d; 
int i; 


d = data; 
for(i=0;i<blkent;i++) { 
encrypt(c,d); 
d +=3; 
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/* Decrypt in ECB mode. */ 

void twy_dec(twy_ctx *c, u4 *data, int blkcnt){ 
u4 *d; 
int i; 


d = data; 

for(i=0;7<blkent;i++){ 
decrypt(c,d); 
dt+=3; 


} 


/* Scrub sensitive values from memory before deallocating. */ 
void twy_destroy(twy_ctx *c){ 

int is 

for(i=0;i<3;i++) c->k[i] = c->kili] = 0; 
} 


void printvec(char *chrs, word32 *d){ 
printf("%20s : %081x %081x %081x \n",chrs,d[2],d[1],d[0]); 
} 


main() 

{ 

twy_ctx gc; 
word32 a({9],k(3]; 
int i; 


/* Test vector 1. */ 


k[0]=k[1]=k[2]=0; 
a[0]=a[1]=a[2]=1; 
twy_key(&gc,k); 


DINEI EREEREER T J a 
printvec("KEY = ",k); 
printvec("PLAIN = ",a); 
encrypt(&gc,a); 
printvec("CIPHER = “,a); 


/* Test vector 2. */ 


k[0]=6;k[1]=5;k[2]=4; 
a[0]=3;a[1]=2;a[2]=1; 
twy_key(&gc,k); 


Pri nif EErEE ji 
printvec("KEY = ",k); 
printvec("PLAIN = ",a); 
encrypt(&gc,a); 
printvec("CIPHER = ",a); 


/* Test vector 3. */ 


k[2]=0xbcdef012;k[1]=0x456789ab;k[0]=0xdef01234; 
a[2]=0x01234567 ;a[1]=0x9abcdef0;a[0]=0x23456789; 
twy_key(&gc,k); 


printf("**xxxxx*xxx\n"); 
printvec("KEY = ",k); 
printvec("PLAIN = ",a); 
encrypt(&gc,a); 
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printvec("CIPHER = ",a); 
/* Test vector 4. */ 


k(2]=0xcab920cd;k{1]=0xd6144138;k(0]=Oxd2f05b5e; 
a(2]=Oxad2lecf7;a[1]=0x83ae9dc4; a[0]=0x4059c76e; 
twy_key(&gc,k); 


pri ntf ( NEKKKKKKKKE\ YH" ) ; 
printvec("KEY = ",k); 
printvec("PLAIN = ",a); 
encrypt(&gc,a); 
printvec("CIPHER = ",a); 


/* TEST VALUES 


key : 00000000 00000000 00000000 
plaintext : 00000001 00000001 00000001 
ciphertext : ad2lecf7 83ae9dc4 4059c76e 


key : 00000004 00000005 00000006 
plaintext : 00000001 00000002 00000003 
ciphertext : cab920cd d6144138 d2f05b5e 


key : bcdef012 456789ab def01234 
plaintext : 01234567 9abcdef0 23456789 
ciphertext : 7cdb76b2 9cdddb6d 0aa55dbb 


key : cab920cd d6144138 d2f05b5e 
plaintext : ad2lecf7 83ae9dc4 4059c76e 
ciphertext : 15b155ed 6b13f17c 478ea871 


wf 


/* Enc/dec test: */ 

for(i=0;1<9;i++) alil=i; 

twy_enc(&gc,a,3); 

for(i=0;1<9;it+=3) printf("Block %01d encrypts to %081x %081x %081x\n", 
i/3,a[i],a[i+1],a[i+2]); 


twy_dec(&gc,a,2); 
twy_dec(&gc,a+6,1); 


for(i=0;i<9;i+=3) printf("Block %01d decrypts to %081x %081x %081x\n", 
i/3,a[i],a[i+1],a[i+2]); 


A.7 RC5 


#include <stdio.h> 


/* An RCS context needs to know how many rounds it has, and its subkeys. */ 
typedef struct { 

u4 *xk; 

int nr; 
} rc5_ctx; 


/* Where possible, these should be replaced with actual rotate instructions. 
For Turbo C++, this is done with _lrot] and _lrotr. */ 


define ROTL32(X,C) (((X)<<(C)) | ((X)>>(32-(C)))) 

define ROTR32(X,C) (((X)>>(C)) | ((X)<<(32-(C)))) 

/* Function prototypes for dealing with RC5 basic operation: 
void rc5_init(rcS_ctx *, int); 
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void rc5_destroy(rc5_ctx *); 

void rc5_key(rc5_ctx *, ul *, int); 
void rc5_encrypt(rc5_ctx *, u4 *, int); 
void rc5_decrypt(rc5_ctx *, u4 *, int); 


/* Function implementations for RC5. */ 


/* Scrub out all sensitive values. */ 
void rc5_destroy(rc5_ctx *c){ 
int i; 
for(i=0;i<(c->nr)*2+2;i++) c->xk[i]=0; 
free(c->xk); 
} 


/* Allocate memory for rc5 context's xk and such. */ 
void rc5_init(rc5_ctx *c, int rounds) { 

c->nr = rounds; 

c->xk = (u4 *) malloc(4*(rounds*2+2) ); 
} 


void rc5_encrypt(rc5_ctx *c, u4 *data, int blocks){ 
u4 *d,*sk; 
int h,i,rc; 


d = data; 
sk = (c->xk)+2; 
for(h=0;h<blocks;h++) { 
d[0] += c->xk(0]; 
d[1] += c->xk(1]; 
for(i=0;i<c->nr*2; it=2) { 
d{(0] *= df{1l]; 
rc = d[l] & 31; 
d[0] = ROTL32(d{0],rc); 
d[0] += sk[i]; 
d[1] ^= d[0]; 
rc = d[0] & 31; 
d[1] = ROTL32(d[1],rc); 
d[1] += sk[i+1]; 
/*printf("Round 203d : %081x %081x sk= %081x %081x\n",i/2, 
d[0],d[1],sk[i],sk[i+1]);*/ 
} 
d+=2; 
} 
} 


void rc5_decrypt(rc5_ctx *c, u4 *data, int blocks){ 
u4 *d,*sk; 
int h,i,rc; 


d = data; 
sk = (c->xk)+2; 
for(h=0;h<blocks;h++) { 
for(i=c->nr*2-2;i>=0;i-=2) 
/*printf("Round %03d: %081x %081x sk: %081x %081x\n", 
i/2,d[0],d[1],sk[i],sk[i+1]); */ 
d[1] -= Sk[i+l]; 
rc = d[0] & 31; 
d[1] = ROTR32(d[1},rc); 


d[1] ^= d[0]; 


d[0] -= sk[i]; 
re = d[1] & 31; 
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d[0] = ROTR32(d[0], rc); 
d[0] ^= d[1]; 
} 


d[0] -= c->xk[0]; 
d[1] -= c->xk[1]; 
d+=2 ; 
i } 
void rc5_key(rc5_ctx *c, ul *key, int keylen){ 
u4 *pk,A,B; /* padded key */ 
int xk_len, pk_len, i, num_steps,rc; 
ul *cp; 


xk_len = c->nr*2 + 2; 
pk_len = keylen/4; 
if((keylen%4)!=0) pk_len += 1; 


pk = (u4 *) malloc(pk_len * 4); 
if(pk==NULL) { 
printf("An error occurred!\n"); 


exit(-1); 
} 
/* Initialize pk -- this should work on Intel machines, anyway.... */ 
for(i=0;i<pk_len;it++) pk[i]=0; 
cp = Cul *)pk: 


for(i=0;i<keylen;it+) cplil=keyLli]; 


/* Initialize xk. */ 
c->xk[0] = 0xb7e15163; /* P32 */ 
for(i=1;i<xk_len; i++) c->xk[i] = c->xkLi-1] + 0x9e3779b9; /* Q32 */ 


/* TESTING */ 

A=B =0; 

for(i=0;i<xk_len;it+) { 
A =A + c->xk[i]; 
B =B ^ c->xk[i]; 

} 


/* Expand key into xk. */ 
if(pk_len>xk_len) num_steps = 3*pk_len;else num_steps = 3*xk_len; 


A=B= 0; 
for(i=0;i<num_steps;i++) { 
A = c->xk[i%xk_len] = ROTL32(c->xk[i%xk_len] + A + B,3); 
rc = (A+B) & 31; 
B = pkLi¥pk_len] = ROTL32(pk[i%pk_len] + A + Bre); 


} 


/* Clobber sensitive data before deallocating memory. */ 
for(i=0;i<pk_len;it+) pk[i] =0; 


free(pk); 
} 


void main(void){ 
rc5_ctx cs 


u4 data[8]; 
char key[] = "ABCDE"; 
int i: 


OP ING ee ee ee Se en ee On ie Fe \n"); 
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for(i=0;i1<8;i++) datali] = i; 
re5_init(&c,10); /* 10 rounds */ 
rc5_key(&c, key ,5); 


rc5_encrypt(&c,data,4); 

printf("Encryptions:\n"); 

for(i=0;1<8;i+=2) printf("Block %01d = %081x %081x\n", 
i/2,data[i],data[i+1]); 

rc5_decrypt(&c,data,2); 

rc5_decrypt(&c,data+4,2); 

printf("Decryptions:\n"); 

for(i=0;1<8;i+=2) printf("Block %01d = %081x %081x\n", 
i/2,data[i],data[i+1]); 


A.8 A5 


typedef struct { 
unsigned long rl,r2,r3; 
| a5 etx; 


static int threshold(r1, r2, r3) 
unsigned int rl; 

unsigned int r2; 

unsigned int r3; 

{ 

int total; 


total = (((rl >> 9) & 0x1) == 1) + 
(((r2 >> 11) & 0x1) == 1) + 
(((r3 >> 11) & 0x1) == 1); 


if (total > 1) 
return (0); 
else 
return (1); 
} 


unsigned long clock_rl(ctl, rl) 
int ctl; 

unsigned long rl; 

{ 

unsigned long feedback; 


ctl ^= ((rl >> 9) & 0x1); 
if (ctl) 
{ 
feedback = (rl >> 18) ^ (rl >> 17) ^ (r1 >> 16) ^ (rl >> 13); 
rl = (rl << 1) & Ox7ffff; 
if (feedback & 0x01) 
rl ^= 0x01; 
} 
return (rl); 


} 


unsigned long clock_r2(ctl, r2) 
int ctl; 

unsigned long r2; 

{ 

unsigned long feedback; 


ctl ^= ((r2 >> 11) & 0x1); 


if (ctl) 
{ 


feedback = (r2 >> 21) ^ (r2 >> 20) ^ (r2 >> 16) ^ (r2 >> 12); 


r2 = (r2 << 1) & Ox3fffff; 


if (feedba 
r2 ^= 0x 
} 
return (r2); 
} 


unsigned long 
int ctl; 
unsigned long 
{ 

unsigned long 


ctl *= ((r3 
if (ctl) 
{ 


feedback = (r3 >> 22) ^ (r3 >> 21) ^ (r3 >> 18) ^ (r3 >> 17); 


r3 = (r3 < 
if (feedba 
r3 ^= 0x 
} 
return (r3); 
} 
int keystream( 
unsigned char 
unsigned long 
unsigned char 
unsigned char 
{ 
unsigned long 
unsigned long 
unsigned long 
int i; 
int clock_ctl; 
unsigned char 
unsigned char 
unsigned int b 
unsigned int b 


/* Initialis 


rl = (key[0] | (key[1] << 8) | (key[2] << 16) ) & 0x7ffff; 


ck & 0x01) 
01; 


clock_r3(ctl, r3) 
rs} 
feedback; 


>> 11) & 0x1); 


< 1) & 0x7fffff， 
ck & 0x01) 
01; 


key, frame, alice, bob) 

*key; /* 64 bit session key 

frame; /* 22 bit frame sequence number 
*alice; /* 114 bit Alice to Bob key stream 
*bob; /* 114 bit Bob to Alice key stream 


ris /* 19 bit shift register */ 
r2; /* 22 bit shift register */ 
ro /* 23 bit shift register */ 

/* counter for loops +7 


*] 
wd 
*/ 
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/* xored with clock enable on each shift register */ 


*ptr; /* current position in keystream */ 
byte; /* byte of keystream being assembled 


its; /* number of bits of keystream in byte */ 
it /* bit output from keystream generator */ 


e shift registers from session key */ 


= 


r2 = ((key[2] >> 3) | (key[3] << 5) | (key[4] << 13) | (key[5] << 21)) & 


Ox3fffff; 


r3 = ((key[5] >> 1) | (key[6] << 7) | (key[7] << 15) ) & Ox7fffff; 


/* Merge frame sequence number into shift register state, by xor'ing it 


* into the 
*/ 
for (i=0;1<22; 
{ 
clock_ct] = 
rl = clock_r 
r2 = clock_r 
r3 = clock_r 
if (frame & 
{ 
rl ^= 1; 
r2 ^= 1; 


feedback path 
j++) 


threshold(rl, r2, r2); 
l(clock_ctl, rl); 
2(clock_ctl, r2); 
3(clock_ctl, r3); 

1) 
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r3 ‘= 1; 
} 
frame = frame >> 1; 
} 


/* Run shift registers for 100 clock ticks to allow frame number to 
* be diffused into all the bits of the shift registers 
*/ 


for (1=0;1<100;i++) 
{ 
clock_ct] = threshold(rl, r2, r2); 
rl = clock_rl(clock_ctl, rl); 
r2'= clock_r2(clock_ctl, r2); 
r3 = clock_r3(clock_ct], r3); 
} 


/* Produce 114 bits of Alice->Bob key stream */ 


ptr = alice; 
bits = 0; 
byte = 0; 


for (i1=0;1<114;i++) 
{ 
clock_ct] = threshold(rl, r2, r2); 
rl = clock_rl(clock_ct], r1); 
r2 = clock_r2(clock_ctl, r2); 
r3 = clock_r3(clock_ctl, r3); 


bit = ((rl >> 18) ^ (r2 >> 21) ^ (r3 >> 22)) & Ox01; 
byte = (byte << 1) | bit; 
bits++; 
if (bits == 8) 
{ 
*ptr = byte; 
ptr++; 
bits = 0; 
byte = 0; 
} 
} 
if (bits) 
xptr = byte; 


/* Run shift registers for another 100 bits to hide relationship between 
* Alice->Bob key stream and Bob->Alice key stream. 
žij 


for (1=0;1<100;i++) 
{ 
clock_ct] = threshold(rl, r2, r2); 
rl = clock_rl(clock_ctl, r1); 
r2 = clock_r2(clock_ctl, r2); 
r3 = clock_r3(clock_ctl, r3); 
} 


/* Produce 114 bits of Bob->Alice key stream */ 


ptr = bob; 

bits = 0; 

byte = 0; 

for (i=0;i<114; i+) 

{ 
clock_ctl = threshold(rl, r2, r2); 
rl = clock_rl(clock_ctl, rl); 


. 


r2 = clock_r2(clock_ctl, r2); 
r3 = clock_r3(clock_ctl, r3); 


bit = ((rl >> 18) ^ (r2 >> 21) * (r3 >> 22)) & 0x01; 
byte = (byte << 1) | bit; 
bits++; 
if (bits == 8) 
{ 
*ptr = byte; 
ptr++; 
bits = 0; 
byte = 0; 
} 
} 
if (bits) 
*ptr = byte; 


return (0); 
} 


void a5_key(a5_ctx *c, char *k){ 


c->rl = k[0J<<11|k[1]<<3 | k[2]>>5 i ¢* 9 2 
c->r2 = k[2J<<17|k[3]<<9 | k[4J<<1 | k[5]>27; /* 22 */ 
c->r3 = k[5]<<15|k[6]<<8 | k[7] LE 25 y 


} 


/* Step one bit in A5, return 0 or l-as output bit. */ 
int a5_step(a5_ctx *c){ 

“int control; 

control = threshold(c->rl,c->r2,c->r3); 

c->rl = clock_rl(control,c->rl); 

c->r2 = clock_r2(control,c->r2); 

c->r3 = clock_r3(control,c->r3); 

returni (c->rl%c->r2%c->r3)&l); 


} 


/* Encrypts a buffer of len bytes. */ 

void a5_encrypt(a5_ctx *c, char *data, int len){ 
int i,j; 
char t; 


for(i=0;i<len; i++) ( 
for(j=0;j<8;j+t+) t = t<<1 | aS_step(c); 
datali]*=t; 


} 


void a5_decrypt(a5_ctx *c, char *data, int len){ 


a5_encrypt(c,data,len); 
} 


void main(void) | 
a5 ctx Cs 
char data[100]; 
char key[] = {1,2,3,4,5,6,7,8}; 
int i,flag; 


for(i=0;1<100;i++) datali] = i; 


a5_key(&c, key); 
a5_encrypt(&c,data,100); 
a5_key(&c,key); 
a5_decrypt(&c,data,1); 
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a5_decrypt(&c,datatl,99); 
flag = 0; 
for(i=0;1<100;i++) if(datalil!=i)flag = 1; 
if(flag)printf("Decrypt failed\n"); else printf("Decrypt succeeded\n"); 
} 
A.9 SEAL 
#undef SEAL_DEBUG 
#define ALG_OK 0 


#define ALG_NOTOK 1 


#define 


typedef 


WORDS_PER_SEAL_CALL 1024 


struct | 


unsigned long t[520]; /* 512 rounded up to a multiple of 5 + 5*/ 
unsigned long s[265]; /* 256 rounded up to a multiple of 5 + 5*/ 
unsigned long r[20]; /* 16 rounded up to multiple of 5 */ 


unsigned long counter; /* 32-bit synch value. */ 
unsigned long ks_buf[WORDS_PER_SEAL_CALL]; 
int ks_pos; 


} seal_ctx; 


define 
#define 
#define 
#define 
#define 
#define 


#define 


#define 
#define 
#define 
#define 


ROT2(x) (((x) >> 2) | (Cx) << 30)) 
ROT9(x) (C(x) >> 9) | (Cx) << 23)) 
ROT8(x) (C(x) >> 8) | (Cx) << 24)) 
ROT16(x) (((x) >> 16) | ((x) << 16)) 
ROT24(x) (((x) >> 24) | ((x) << 8)) 
ROT27(x) (((x) >> 27) | (Cx) << 5)) 


WORD(cp) ((cp[0] << 24)|(cp[1] << 16)|(cpl2] << 8)|(cp[3])) 


Fl(x, y, Z) (C(x) & (y)) | ((~(x)) & (2))) 

F2(x, y, 2) ((x)^(y)^(z)) 

F3(x, y, Z) (((x) & (y)) | (Cx) & (z)) | Cy) & (z))) 
FA(x, y, z) ((x)*(y)4(z)) 


int g(in, i, h) 
unsigned char *in; 


int. i; 


unsigned long *h; 


{ 


unsigned long h0; 
unsigned long hl; 
unsigned long h2; 
unsigned long h3; 


unsigned long h4 
unsigned long a 
unsigned long b 
unsigned long c 
unsigned long d 
unsigned long e 
unsigned char * 


unsigned long w(80]; 
unsigned long temp; 


kp 
h0 
hl 
h2 
h3 
h4 


= in; 

WORD( kp); kp += 
WORD(kp); kp += 
WORD(kp); kp += 
WORD(kp); kp += 
WORD( kp); kp += 


Ppp Pf 


w[0] = i; 
for (i=1;1<16;i++) 
w[i] = 0; 
for (i=16;i<80; i++) 
w[i] = w[i-3]^w[i-8]^w[i-14]^w[i-16]; 


for (i=0;i<20;i++) 


temp = ROT27(a) + Fl(b, c, d) + e + w[i] 
e=d; 
= ROT2(b); 
a; 
= temp; 


vona 
i 


for (1=20;1<40;i++) 


temp = ROT27(a) + F2(b, c, d) +e + w[i] 
e= d; 

d= g; 

c = ROT2(b); 

b= a; 
a = temp; 


for (1=40;1<60; i++) 


temp = ROT27(a) + F3(b, c, d) + e + w[i] 
e=d; 

= ROT2(b); 

= temp; 


D CD a 
L 


for (i=60;i<80;i++) 


temp = ROT27(a) + F4(b, c, d) + e + w[i] 
e=d; 

ROT2(b); 

= temp; 


eon a 
L] 


| 

h[0] = hOta; 
h[1] = hitb; 
h[2] = h2tc; 
h[3] = h3+d; 
h[4] = h4te; 


return (ALG_OK); 
} 
unsigned long gamma(a, i) 
unsigned char *a; 
int i; 
{ 
unsigned long h[5]; 
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+ 0x5a827999; 


+ 0x6ed9ebal; 


+ Ox8flbbcdc; 


+ Oxca62cld6; 
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(void) g(a, i/5, h); 
return h[i % 5]; 
} 


int seal_init(seal_ctx *result, unsigned char *key) 
{ 

int i; 

unsigned long h[5]; 


for (1=0;1<510;i+=5) 

g(key, 1/5, &(result->tLi])); 
/* horrible special case for the end */ 
g(key, 510/5, h); 
for (1=510;1<512;i++) 

result->tli] = hli-510]; 
/* 0x1000 mod 5 is +1, so have horrible special case for the start */ 
g(key, (-1+0x1000)/5, h); 
for (i=0;1<4;i++) 

result->s[i] = h[i+1]; 
for (1=4;1<254;i+=5) 

g(key, (1+0x1000)/5, &(result->s[i])); 
/* horrible special case for the end */ 
g(key, (254+0x1000)/5, h); 
for (i=254;1<256;i++) 

result->s[i] = h[i-254]; 
/* 0x2000 mod 5 is +2, so have horrible special case at the start */ 
g(key, (-2+0x2000)/5, h); 
for (1=0;1<3; i++) 

result->rli] = h[i+2]; 
for (1=3;1<13;i+=5) 

g(key, (i1+0x2000)/5, &(result->r[i])); 
/* horrible special case for the end */ 
g(key, (13+0x2000)/5, h); 
for (i=13;1<16;i++) 

result->r[li] = h[i-13]; 
return (ALG_OK); 


int seal(seal_ctx *key, unsigned long in, unsigned long *out) 

{ 

int i; 

int j; 

int 1; 

unsigned long a; 

unsigned long b; 

unsigned long C; 

unsigned long d; 

unsigned short p; 

unsigned short q; 

unsigned long nl; 

unsigned long n2; 

unsigned long n3; 

unsigned long n4; 

unsigned long *wp; 
wp = out; 


for (1=0;1<4;1++) 

{ 
a= in ^ key->r({4*1]; 
b = ROT8(in) ^ key->r[4*1+1]; 
c = ROT16(in) ^ key->r[4*1+2]; 
d = ROT24(in) ^ key->r[4*1+3]; 
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for (j=0;j¢2;j++) 


{ 


| 

nl 
n2 
n3 
n4 


/* This generates 64 32-bit words, or 256 bytes of keystream. 


TEE o de 


it 
ry w erei 


=a & Ox7fc; 
+= key->t[{p/4]; 
= ROT9(a); 


= b & Ox7fc; 
+= key->t[p/4]; 
= ROT9(b); 


= c & Ox7fc; 
+= key->t{p/4]; 
= ROT9(C); 


= d & Ox7fc; 


+= key->t[p/4]; 
= ROT9(d); 


, 
’ 
》 
, 


=a & Ox/fc; 
+= key->t(p/4]; 
= ROT9(a); 


= b & Ox7fc; 
+= key->t[p/4]; 
= ROT9(b); 


= c & 0x7fc; 
+= key->t[p/4]; 
= ROT9 (c); 


= d & Ox7fc; 
+= key->tľp/4]; 
= ROT9(d); 


for (i=0;i<64;i++) 


{ 


p 
b 
a 
b 


O TAO 


aoawv 


| 


=a & Ox7fc; 
+= key->t[p/4]; 
= ROT9(a); 


^= a; 


= b & Ox7fc; 

^= key->t[q/4]; 
= ROT9(b); 

+= b; 


= (p+c) & Ox7fc; 
+= key->t[p/4]; 
= ROT9(Cc); 


As ce 


= (qtd) & Ox7fc; 
^= key->t[q/4]; 
= ROT9(d); 

+= d; 


#/ 
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p = (pta) & Ox7fc; 
b ^= key->t[p/4]; 
a = ROT9(a); 


q = (qtb) & Ox7fc; 
c += key->t[q/4]; 
b = ROT9(b); 


p = (p+c) & Ox7fc; 
d ^= key->t[p/4]; 
c = ROT9(C); 


q = (qtd) & Ox7fc; 
a += key->t[q/4]; 
= ROT9(d); 


a 


*wp = b + key->s[4*i]; 
wpt+; 

*wo = c ^ key->s[4*i+1]; 
wp++; 

*wp = d + key->s[4*i+2]; 
WP++; 

xwp = a ^ key->s[4*i+3]; 
wpt+; 


if (i & 1) 


a += n3; 
c += ng; 


a += nl; 
c += n2; 


} 
return (ALG_OK); 
} 
/* Added call to refill ks_buf and reset counter and ks_pos. */ 
void seal_refill_buffer(seal_ctx *c){ 
seal(c,c->counter,c->ks_buf); 
c->counter++; 
c->ks_pos = 0; 
} 
void seal_key(seal_ctx *c, unsigned char *key){ 
seal_init(c,key); 
c->counter = 0; /* By default, init to zero. */ 
c->ks_pos = WORDS_PER_SEAL_CALL; 
} /* Refill keystream buffer on next call. */ 


/* This encrypts the next w words with SEAL. */ 
void seal_encrypt(seal_ctx *c, unsigned long *data_ptr, int w){ 
int i; 


for(i=0;i<w; i++) { 
if(c->ks_pos>=WORDS_PER_SEAL_CALL) seal_refill_buffer(c); 
data_ptr[i]*=c->ks_buf[c->ks_pos]; 
C->ks_pos++; 
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void seal_decrypt(seal_ctx *c, unsigned long *data_ptr, int w) { 
seal_encrypt(c,data_ptr,w); 
} 


void seal_resynch(seal_ctx *c, unsigned long synch_word) | 
c->counter = synch_word; 
c->ks_pos = WORDS_PER_SEAL_CALL; 

} 


void main(void){ 
seal_ctx $c; 
unsigned long buf{1000],t; 
int i,flag; 
unsigned char key[] = 
{0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,191; 


printf("1\n"); 

seal_key(&sc, key); 

printf("2\n"); 

for(i=0;1<1000;i++) buf[i]=0; 

printf("3\n"); 

seal_encrypt(&sc, buf ,1000); 

printf("4\n"); 

t =0; 

for(i=0;1<1000;i++) t = t ^ buf[i]; 
printf("XOR of buf is %2081x.\n",t); 


seal_key(&sc, key); 
seal_decrypt(&sc,buf,1); 
seal_decrypt(&sc, buf+1 ,999) ; 

flag = 0; 

for(i=0;1<1000;i++) if(bufliJ!=0)flag=1; 
if(flag) printf("Decrypt failed.\n"); 
else printf("Decrypt succeeded.\n"); 
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密码 研究 〈 广 义 上 ， 也 包括 本 书 在 内 ) 最 危险 的 一 个 方面 是 它 儿 乎 可 以 被 度量 。 密 钥 长 
度 、 因 子 分 解 的 方法 以 及 密码 分 析 技 术 的 知识 使 得 估算 〈 在 不 知道 密码 设计 的 真正 原理 的 情 
况 下 ) 用 于 破译 一 个 特定 密 文 所 需 的 “工作 因子 ”成 为 可 能 。 我 们 很 容易 错误 地 运用 这 些 佑 
算 方 法 ， 好 像 它们 就 是 应 用 系统 的 全 部 安全 度量 准则 。 现 实 世界 提供 给 攻击 者 丰富 的 选择 ， 
而 不 仅仅 是 密码 分 析 。 通 常 更 令 人 担忧 的 是 协议 攻击 、 特 洛 伊 木马 、 病 毒 、 电 磁 监 视 、 物 理 
损害 、 黑 色 邮 件 、 胁 迫 密 钥 持 有 者 、 操 作 系统 漏洞 、 应 用 程序 漏洞 、 硬 件 漏洞 、 用 户 错误 、 
物理 窃听 、 社 交 公关 等 ， 不 胜 枚 举 。 

高 质量 的 密码 和 协议 是 重要 的 工具 ， 但 它们 本 身 并 不 能 代替 现实 的 、 挑 剔 的 关于 实际 上 
保护 的 是 什么 东西 ， 以 及 不 同 的 防御 措施 怎样 可 能 失效 的 思考 〈 毕 竟 ， 攻 击 者 很 少将 自己 局 
限于 学 术 领 域 中 规则 的 、 良 好 定义 的 攻击 模式 )。Ross Anderson 提供 了 一 个 很 强 的 密码 系 
统 的 例子 (银行 业 中 的 )， 当 其 暴露 在 现实 世界 的 威胁 中 时 失效 了 '“"“。 其 至 在 攻击 者 只 能 
访问 密 文 的 情况 下 ， 系 统 其 他 部 分 的 微小 漏洞 似乎 都 有 可 能 泄露 足够 的 信息 致使 良好 的 密码 
系统 失效 。 第 二 次 世界 大 战 中 ， 盟 军 通 过 仔细 分 析 操 作 员 的 错误 而 破译 了 德国 的 恩 尼 
fe age 

有 一 位 NSA 的 熟人 ， 当 被 问 及 政府 是 否 能 够 破解 DES 通信 数据 时 ， 他 嘲讽 地 说 ， 实 际 
的 系统 很 不 安全 ， 他 们 从 来 都 不 必 操 这 份 心 。 不 幸 的 是 ， 没 有 一 种 简单 的 办 法 来 使 一 个 系统 
变 得 安全 ， 唯 有 进行 仔细 的 设计 和 挑剔 的 审查 。 好 的 加 密 系 统 具 有 这 样 一 种 特性 : 它 会 给 攻 
击 者 带 来 比 合法 用 户 大 得 多 的 麻烦 ， 但 在 计算 机 和 通信 安全 方面 几乎 有 半数 的 情况 并 不 是 这 
样 。 考 虑 下 面 列 出 的 《还 很 不 完整 ) “现实 系统 安全 的 十 大 威胁 ”， 所 有 情况 都 是 攻击 容易 、 
防护 难 。 

(1) 令 人 遗憾 的 软件 状态 。 每 个 人 都 知道 没有 人 知道 如 何 写 软 件 。 现 代 的 系统 很 复杂 ， 
有 数 十 万 行 代码 ， 它 们 中 的 任何 一 行 都 有 可 能 危及 安全 性 。 软 件 安全 部 分 的 致命 漏洞 甚至 可 
能 是 难以 消除 的 。 

(2) 低 效 的 针对 拒绝 服务 攻击 的 保护 。 有 些 密码 协议 允许 匿名 方式 。 如 果 匿 名 协议 增加 
了 不 可 识别 的 破坏 者 破坏 服务 的 机 会 ， 实 施 这 样 的 协议 就 特别 危险 。 因 此 匿名 系统 尤其 需要 
能 够 抵抗 拒绝 服务 攻击 。 坚 固 的 系统 更 能 轻松 地 支持 匿名 方式 ， 考 虑 下 面 这 种 情况 : 几乎 没 
有 人 担心 像 电话 系统 或 邮政 系统 这 样 非常 强健 的 网 络 上 的 数 百 万 的 匿名 入 口 点 ， 在 这 样 的 网 
络 中 ， 对 个 人 来 说 要 造成 大 规模 的 故障 相对 比较 困难 (或 昂贵 )。 

G) 没有 地 方 存放 秘密 。 加 密 系统 用 小 秘密 〈 密 钥 ) 保护 大 秘密 。 不 幸 的 是 ,现代 计算 
机 并 不 特别 适 于 保护 哪 伯 最 小 的 秘密 。 多 个 用 户 的 联网 工作 站 可 能 被 部 和 人， 使 它们 的 存储 融 
丧失 安全 性 。 另 外 ， 单 个 用 户 的 机 器 可 能 被 盗 或 者 由 于 异步 泄露 秘密 的 病毒 而 丧失 安全 性 。 
不 能 让 用 户 输入 口令 短语 的 远程 服务 器 (参见 威胁 5) 是 一 个 特别 严重 的 问题 。 

(4) 糟糕 的 随机 数 产生 。 密 钥 和 会 话 变 量 需 要 有 良好 的 不 可 预测 的 位 来 源 。 一 台 运 行 的 
计算 机 里 有 大 量 信息 ， 但 很 少 提供 应 用 程序 以 方便 或 可 靠 的 方式 来 利用 它 。 大 量 技 术 已 经 计 
划 用 软件 得 到 真正 的 随机 数 〈 利 用 如 IO 间隔 定时 、 时 钟 和 定时 器 的 偏差 、 甚 至 磁盘 封装 
内 的 气流 等 事物 的 不 可 预测 性 )， 但 所 有 这 些 方法 都 对 应 用 环境 的 轻微 变化 十 分 敏感 。 
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(5) 弱 口 令 短 语 。 大 多 数 密码 软件 引起 了 密 钥 存储 和 密 钥 产生 的 问题 ， 它 们 依赖 用 户 产 
生 的 口令 短语 字符 串 ， 这 些 字符 串 被 假定 为 具有 足够 的 不 可 预知 性 ， 以 产生 好 的 密 钥 ， 并 且 
好 记 ， 不 需要 安全 存储 。 虽 然 短 口令 字 的 字典 攻击 已 成 为 著名 的 问题 ， 但 关于 针对 用 户 选 择 
的 基于 口令 短语 密 钥 的 攻击 方式 还 知之 其 少 。Shannon 告诉 我 们 ， 英 文 文本 每 字符 仅 含有 1 
位 多 的 炉 值 ， 口 令 短 语 似乎 能 在 穷 举 搜索 的 范围 内 保存 完好 。 然 而 ， 对 利用 这 一 点 来 枚 举 口 
令 短语 的 好 技术 了 解 太 少 。 在 我 们 对 如 何 攻击 口令 短语 有 一 个 较 好 的 认识 之 前 ， 我 们 无 从 得 
知 口令 短语 到 底 有 多 强 或 多 弱 。 

(6) 不 合 要 求 的 信任 关系 。 几 乎 所 有 现成 的 密码 软件 都 假定 用 户 直 接 控 制 软件 运行 的 系 
统 ， 并 且 可 以 安全 地 访问 它 。 例 如 ， 类 似 PGP 的 程序 界面 假定 它们 的 口令 短语 总 是 由 用 户 
通过 一 条 安全 的 路 径 输入 ， 如 本 地 控制 台 。 这 当然 不 总 是 实际 情况 ， 考 虑 这 样 一 种 情况 : 通 
过 网 络 连接 登录 ， 阅 读 加 密 邮 件 带 来 的 问题 。 系 统 设计 者 假定 的 信任 关系 可 能 并 不 符合 实际 
用 户 的 要 求 或 期 望 ， 特 别 是 能 通过 不 安全 的 网 络 对 软件 进行 控制 的 时 候 。 

(7) 没有 正确 理解 的 协议 与 服务 的 相互 作用 。 随 着 系统 变 得 越 来 越 大 ， 越 来 越 复杂 ， 恨 
性 的 特性 常常 反 过 来 困扰 我 们 ， 当 出 现 故 障 时 甚至 很 难 知 道 应 该 检查 哪里 。 因 特 网 蠕虫 就 是 
通过 邮件 发 送 程序 中 一 个 不 明显 的 、 看 起 来 没什么 问题 的 特性 传播 的 。 到 底 还 有 多 少 其 他 程 
序 中 的 多 少 其 他 特性 会 带 来 不 可 预期 的 结果 呢 ? 这 个 问题 正 等 待 我 们 去 回答 。 

(8) 非 现 实 的 威胁 和 风险 评估 。 安 全 专家 倾向 于 把 注意 力 集中 在 那些 他 们 知道 如 何 建 模 
和 防御 的 威胁 上 。 不 幸 的 是 ,攻击 者 却 把 注意 力 集中 在 他 们 知道 如 何 利 用 的 东西 上 。 而 这 两 
者 通常 并 不 完全 一 致 。 太 多 “安全 ”系统 并 没有 考虑 攻击 者 实际 上 可 能 怎么 做 就 被 设计 出 
来 Ts 

(9) 使 安全 功能 变 得 昂贵 和 特殊 的 接口 。 如 果 要 使 用 安全 特性 ， 它 们 就 必须 足够 方便 和 
透明 ， 以 便 用 户 实际 使 用 。 容 易 设 计 出 牺牲 了 性 能 或 易 用 性 的 加 密 机 制 ， 甚 至 更 容易 设计 出 
引入 了 错误 的 机 制 。 关 闭 安全 功能 应 该 比 打开 安全 功能 更 困难 。 不 幸 的 是 ， 很 少 有 系统 按 这 
种 方式 工作 。 

(10) 没有 对 安全 功能 的 广泛 需求 。 几 乎 在 所 有 靠 销售 安全 产品 僵 利 的 人 中 ， 这 是 一 个 
众所周知 的 问题 。 如 果 对 透明 安全 功能 没有 广泛 的 需求 ， 支 持 它 的 工具 和 基础 设施 对 于 许多 
应 用 来 说 都 会 比较 昂贵 ， 高 不 可 攀 。 在 一 定 程度 上 ， 这 是 一 个 理解 和 暴露 现实 应 用 的 威胁 和 
风险 的 问题 ， 也 是 一 个 不 能 将 系统 设计 成 把 安全 功能 作为 一 个 基本 特征 ， 而 不 是 作为 以 后 的 
添加 部 件 的 问题 。 

就 这 些 类 型 的 威胁 做 更 完备 的 罗列 和 讨论 会 很 轻松 地 填 满 如 本 书 一 样 厚 的 书 ， 而 且 还 只 
能 涉及 表面 。 它 们 之 所 以 特别 困难 和 危险 的 原因 是 ， 要 想 避 开 它 们 ， 除 了 和 良好 的 工程 设计 和 
进行 详细 的 审查 外 并 没有 什么 魔法 。 对 有 抱负 的 密码 学 家 的 忠告 是 瞄准 密码 技术 的 极限 。 
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